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网 络 已 成 为 主要 的 数据 传输 和 信息 交换 平台 ,许多 部 门 和 企业 在 网 
上 构建 了 关键 的 业务 流程 。 网 络 安全 和 信息 安全 是 保障 网 上 业务 正常 运 
行 的 关键 ， 并 已 日 益 成 为 网 络 用 户 普 遍 关 注 的 焦点 问题 。 

本 书 介 绍 网 络 安全 方面 的 知识 ， 具 体 包括 认识 网 络 安全 、 网 络 操作 
系统 安全 、 网 络 设备 安全 、 防 火 墙 安全 体系 、 加 密 技术 及 备份 技术 等 。 
本 书 还 插入 大 量 的 网 络 工 具 列 表 内 容 ， 让 用 户 充 分 了 解 用 于 保证 网 络 安 
全 所 需 的 各 种 关键 技术 和 工具 的 应 用 等 。 


1. 本 书 内 容 


本 书 分 篇 介绍 与 网 络 安全 相关 的 重点 内 容 ， 语 言 简单 易 懂 、 内 容 深 
入 浅 出 ， 并 插入 大 量 的 实例 案例 图 形 ， 使 用 户 能 更 好 地 掌握 该 方面 的 
技术 。 

本 书 共 分 5 篇 13 章 。 

第 一 篇 为 认识 网 络 安全 (包含 第 1~3 章 )， 介 绍 网 络 安全 的 基础 内 
容 ， 使 用 户 拥有 扎实 的 理论 知识 。 

第 1 章 为 网 络 安全 基础 ， 详 细 介绍 网 络 安全 概念 、 网 络 安全 评价 标 
准 、 常 见 的 安全 威胁 与 攻击 、 网 络 安全 的 现状 和 发 展 趋势 等 。 

第 2 章 为 计算 病毒 , 详细 介绍 计算 机 病毒 概述 、 计算 机 病毒 的 危害 、 
常见 的 计算 机 病毒 类 型 、 网 络 工具 列表 等 。 

第 3 章 为 网 络 攻击 与 防范 ， 详 细 介绍 黑客 概述 、 常 见 的 网 络 攻击 、 
木马 攻击 与 分 析 、 木 马 的 攻击 防护 技术 等 。 

第 二 篇 为 网 络 操作 系统 安全 (包含 第 4 一 6 章 ), 介绍 Windows Server 
2008 服务 器 操作 系统 中 的 安全 应 用 等 。 

第 4 章 为 操作 系统 加 固 ， 详 细 介绍 操作 系统 安装 与 更 新 、Internet 
连接 防火 墙 、 安 全 配置 向 导 、 默 认 共 享 等 。 

第 5 章 为 系统 安全 策略 ， 详 细 介绍 账户 策略 、 审 核 策略 、 限 制 用 户 
登录 、 安 全 配置 和 分 析 、IPSec 安全 策略 等 。 

第 6 章 为 系统 漏洞 修补 ， 详 细 介 绍 漏 洞 概述 、 漏 洞 预警 、 漏 洞 更 
新 等 。 

第 三 篇 为 网 络 设备 安全 〈 包 含 第 7 一 8 章 )， 典 型 介绍 网 络 中 交换 机 
和 路 由 器 的 安全 配置 技术 。 

第 7 章 为 交换 机 安全 配置 , 详细 介绍 基于 端口 的 传输 控制 .PVLAN 
安全 、 基 于 端口 的 认证 安全 、 配 置 RMON 等 。 

第 8 章 为 路 由 器 安全 配置 , 详细 介绍 访问 列表 安全 、 网络 地 址 转换 、 
网 络 攻击 安全 防范 、 使 用 SDM 配置 路 由 器 等 。 

第 四 篇 为 防火 墙 安全 体系 〈 包 含 第 9 一 11 章 )， 介 绍 防火 墙 基础 及 


安全 设置 、Cisco PIX 防火 墙 的 应 用 、 入 侵 检测 系统 等 。 

第 9 章 为 防火 墙 基础 ， 则 详细 介绍 防火 墙 概述 、 防 火 墙 的 分 类 、 防 火 墙 的 体系 结构 、 防 
火 墙 的 主要 应 用 等 。 

第 10 章 为 Cisco PIX 防火 墙 ， 详 细 介绍 PIX 防火 墙 的 概述 、PIX 防火 墙 的 基本 使 用 、PIX 
防火 墙 的 高 级 配置 、PIX 防火 墙 系统 日 志 、PIX 防火 墙 攻击 防护 等 。 

第 11 章 为 入 侵 检测 系统 ， 详 细 介绍 IDS 的 概述 、IDS 系统 分 类 、IDS 的 检测 方式 、IDS 
的 应 用 、IDS 的 发 展 方向 等 。 

第 五 篇 为 加 密 技术 及 备份 技术 (包含 第 12、13 章 )， 介 绍 网 络 安全 中 的 公 钥 、 数 据 加 密 
技术 和 数据 备份 等 。 

第 12 章 为 公 钥 基 础 设施 ， 详 细 介绍 PKI 基础 、PKI 服务 和 实现 、PKI 的 体系 结构 、 权 限 
管理 基础 设施 PMI 概况 、 属 性 权威 和 权限 管理 、 基 于 PMI 建立 安全 应 用 等 。 

第 13 章 为 数据 加 密 及 备份 ， 详 细 介 绍 密 钥 密码 学 、 数 据 加 密 技 术 、EFS 文件 的 加 密 与 解 
密 、 数 据 的 备份 与 恢复 、 数 据 库 的 备份 与 恢复 等 。 


2. 本 书 特色 


口 面向 职业 角度 和 网 管 考试 安排 图 书 内 容 , 增强 了 本 书 的 实用 性 。 内 容 全 面 ,结构 完善 ， 
形成 系统 而 完备 的 网 管 知识 体系 。 

口 通过 相关 企业 征集 30 多 个 有 代表 性 的 ,工作 中 经 常 应 用 的 一 些 实例 ,在 书 中 穿插 介绍 。 
将 理论 知识 落实 到 日 常 的 网 络 应 用 实践 中 ， 提 高 读者 网 络 管理 的 实际 应 用 能 力 。 

口 由 具有 专业 的 企业 服务 器 安全 管理 和 网 络 维护 经 验 的 人 员 编 写 ， 对 企业 环境 中 面临 的 
安全 问题 以 及 解决 措施 有 独特 的 见解 ， 并 能 用 通俗 易 懂 的 语言 , 深入 浅 出 地 表达 出 来 。 

口 增加 “网 管 心得 ”， 介 绍 网 管 的 实际 工作 环境 和 职业 要 求 , 便于 没有 工作 经 验 的 网 管 与 
相关 职业 接轨 ， 掌 握 工作 中 必 备 技能 或 者 相关 知识 。 


3. 读者 定位 


本 书 由 浅 入 深 ， 通 俗 易 懂 ， 注 重 实践 ， 适 用 于 中 小 企业 网 络 管理 人 员 、 企 业 IT 经 理 和 网 
络 管理 员 ， 以 及 网 络 安全 工程 师 自 学 选用 ， 也 可 作为 高 校 的 选用 教材 和 参考 手册 。 
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第 一 篇 ”认识 网 络 安全 


网 络 安全 基础 
s |] 。 


目前 ， 计 算 机 网 络 的 普及 度 越 来 越 大 ， 不 仅 是 人 们 工作 、 学 习 和 生活 的 便捷 工具 ， 同 时 
也 为 人 们 提供 了 各 种 各 样 的 资源 。 但 是 ， 不 得 不 注意 到 ， 网 络 虽 然 功能 强大 ， 但 它 有 脆弱 、 
易 受 到 攻击 的 一 面 。 

据 美国 联 绑 调查 局 (FBI) 统计 ， 美 国 每 年 因 网 络 安全 问题 所 造成 的 经 济 损失 高 达 75 亿 
美元 。 而 全 球 平均 每 20 秒 钟 就 发 生 一 起 Internet 计算 机 侵入 事件 。 在 我 国 ， 每 年 因 黑客 入 侵 、 
计算 机 病毒 对 网 络 的 破坏 也 造成 了 巨大 的 经 济 损失 。 因 此 ， 无 论 何 时 网 络 安全 问题 不 容 忽视 。 

本 章 从 网 络 安全 定义 、 网 络 安全 概念 、 常 见 的 安全 威胁 与 攻击 、 网 络 安全 的 现状 和 发 展 
趋势 等 方面 进行 学 习 ， 使 读者 对 网 络 安全 有 清晰 的 认识 。 


> 了 解 网 络 安全 的 定义 、 安 全 模型 及 其 研究 的 主要 内 容 

> 熟悉 安全 的 攻防 体系 结构 和 层次 体系 结构 

> 了 解 网 络 安全 评价 标准 及 网 络 安全 自身 的 脆弱 性 

> 掌握 对 网 络 安全 提出 的 防范 建议 以 及 网 络 所 面临 的 安全 威胁 种 类 
> 熟悉 网 络 安全 策略 设计 原则 


1.1 网 络 安 全 基本 概念 


随 着 网 络 威胁 的 增加 ， 人 们 逐渐 建立 了 网 络 安全 研究 的 相关 技术 和 理论 ， 提 出 了 网 络 安 
全 的 模型 、 体 系 结构 和 目标 等 。 本 节 从 各 个 方面 详细 介绍 有 关 网 络 安全 的 基础 知识 。 


1.1.1 网 络 安全 概述 


网 络 安全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 ， 涉 及 的 领域 相当 广泛 ， 这 是 因为 在 目 
前 的 公用 通信 网 络 中 存在 着 各 种 各 样 的 安全 漏洞 和 威胁 。 凡 是 涉及 网 络 上 的 信息 的 保密 性 、 
完整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 ， 都 是 网 络 安全 所 要 研究 的 领域 。 

严格 地 说 ， 网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 受 偶然 
的 或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 、 泄 露 ， 系 统 连续 可 靠 正常 地 运行 ， 网 络 服务 不 中 断 ， 
这 包括 如 下 含义 。 

口 网 络 运行 系统 安全 ， 即 保证 信息 处 理 和 传输 系统 的 安全 。 

口 网 络 上 系统 信息 的 安全 。 


口 网 络 上 信息 传播 的 安全 ， 即 信息 传播 后 果 的 安全 。 

口 网 络 上 信息 内 容 的 安全 ， 即 狭义 的 “信息 安全 ”。 

计算 机 网 络 安全 的 主要 内 容 不 仅 包括 硬件 设备 、 管 理 控制 网 络 的 软件 方面 ， 同 时 也 包括 
共享 的 资源 ， 快 捷 的 网 络 服务 等 方面 。 具 体 来 讲 包括 如 下 内 容 。 

口 网 络 实体 安全 

计算 机 机 房 的 物理 条 件 、 物 理 环 境 及 设施 的 安全 ,计算机 硬件 、 附 属 设备 及 网 络 传输 线 
路 的 安装 及 配置 等 。 

口 软件 安全 

保护 网 络 系统 不 被 非法 入 侵 ， 系 统 软件 与 应 用 软件 不 被 非法 复制 、 算 改 、 不 受 病毒 的 侵 
害 等 。 

口 数据 安全 

保护 数据 不 被 非法 存 取 ， 确 保 其 完整 性 、 一 致 性 、 机 密 性 等 。 

口 安全 管理 

在 运行 期 间 对 突 发 事件 的 安全 处 理 ， 包 括 采 取 计算 机 安全 技术 ， 建 立 安全 管理 制度 ， 开 
展 安全 审计 ， 进 行 风险 分 析 等 内 容 。 

口 数据 保密 性 

信息 不 泄露 给 非 授权 的 用 户 、 实 体 或 过 程 ， 或 供 其 利用 的 特性 。 在 网 络 系统 的 各 个 层次 
上 有 不 同 的 机 密 性 及 相应 的 防范 措施 。 例 如 , 在 物理 层 ， 要 保证 系统 实体 不 以 电磁 的 方式 ( 电 
磁 辐 射 、 电 磁 泄 露 等 ) 向 外 泄露 信息 ， 在 数据 处 理 、 传 输 层面 ， 要 保证 数据 在 传输 、 存 储 过 
程 中 不 被 非法 获取 、 解 析 ， 主 要 的 防范 措施 是 采用 密码 技术 。 

口 数据 完整 性 

数据 完整 性 指数 据 在 未 经 授权 时 不 能 改变 其 特性 ， 即 信息 在 存储 或 传输 过 程 中 保持 不 被 
修改 、 不 被 破坏 和 丢失 的 特性 ， 完 整 性 要 求 信息 的 原样 ， 即 信息 的 正确 生成 、 正 确 存 储 和 正 
确 传 输 。 影 响 网 络 信息 完整 性 的 主要 因素 包括 设备 故障 、 传 输 、 处 理 或 存储 过 程 中 产生 的 误 
码 、 网 络 攻击 、 计 算 机 病毒 等 ， 其 主要 防范 措施 是 校 验 与 认证 技术 。 

口 可 用 性 

网 络 信息 系统 最 基本 的 功能 是 向 用 户 提供 服务 ， 而 用 户 所 要 求 的 服务 是 多 层次 的 、 随 机 
的 ， 可 用 性 是 指 可 被 授权 实体 访问 ， 并 按 需 求 使 用 的 特性 ， 即 当 需 要 时 应 能 存 取 所 需 的 信 
息 。 网 络 环境 下 拒绝 服务 、 破 坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 可 用 性 的 攻击 。 

口 可 控 性 

可 控 性 指 对 信息 的 传播 及 内 容 具 有 控制 能 力 ， 保 障 系统 依据 授权 提供 服务 ， 使 系统 任何 
时 候 不 被 非 授权 用 户 使 用 ， 对 黑客 入 侵 、 口 令 攻 击 、 用 户 权 限 非法 提升 、 资 源 非法 使 用 等 采 
取 防 范 措施 。 

口 可 审查 性 

提供 历史 事件 的 记录 ， 对 出 现 的 网 络 安全 问题 提供 调查 的 依据 和 手段 。 


完整 性 与 保密 性 不 同 ， 保 密 性 要 求 信息 不 被 泄露 给 未 授权 用 户 ， 而 完整 性 则 
是 要 求 信息 不 受 各 种 原因 的 破坏 。 


1.1.2 ”安全 模型 


随 着 信息 化 社会 的 网 络 化 ， 各 国 的 政治 、 外 交 、 国 防 等 领域 越 来 越 依 赖 于 计算 机 网 络 ， 
因此 ， 计 算 机 网 络 安全 的 地 位 日 趋 重 要 。 

从 宏观 上 讲 ， 目 前 国家 、 政 府 部 门 正在 不 断 制定 和 完善 网 络 安全 的 法 律 、 网 络 安全 标准 
等 ;而 从 具体 角度 讲 ， 针 对 企业 、 集 团 、 高 校 等 网 络 用 户 而 言 ， 拥 有 经 济 合理 的 网 络 安全 设 
备 是 保障 网 络 安全 的 硬件 技术 ， 能 够 协调 进行 有 效 的 安全 管理 工作 是 能 够 保障 网 络 长 期 安全 、 
相对 稳定 运作 的 动力 。 而 两 者 所 围绕 的 核心 问题 是 针对 预防 的 主要 网 络 攻击 手段 及 当前 运作 
实体 的 经 济 技术 能 力 建立 一 个 可 实施 的 、 合 理 的 、 长 期 有 效 的 网 络 安全 模型 。 

围绕 安全 模型 设计 与 实施 ， 将 相关 的 网 络 安全 技术 与 安全 机 制 方面 的 工作 有 机 结合 起 来 ， 
才能 够 有 效 地 保证 网 络 安全 。 所 以 ， 建 立 合理 有 效 的 网 络 安全 模型 ， 无 论 是 对 硬件 设备 的 选 
择 ， 还 是 对 后 期 网 络 安全 管理 工作 的 开展 ， 都 是 一 个 关键 技术 问题 。 从 而 也 决定 了 它 在 实现 
网 络 安全 方面 不 可 忽视 的 重要 性 。 网 络 安全 能 否 有 效 地 担任 职责 ， 这 对 网 络 技术 的 发 展 ， 网 
络 时 代 信 息 秩序 的 维护 以 及 企业 和 单位 用 户 的 网 络 正常 运行 都 莫 定 了 坚实 的 基础 。 

目前 ， 在 网 络 安全 领域 存在 较 多 的 网 络 安全 模型 。 这 些 安全 模型 都 较 好 地 描述 了 网 络 安 
全 的 部 分 特征 ， 又 都 有 各 自 的 侧重 点 ， 在 各 自 不 同 的 专业 和 领域 都 有 着 一 定 程度 的 应 用 。 


在 网 络 信息 传输 中 ， 为 了 保证 信息 传输 的 安全 性 ， 一 般 需 要 一 个 值得 信任 的 第 三 方 负责 
在 源 节点 和 目的 节点 间 进 行 秘密 信息 分 发 ， 同 时 当 双 方 发 生 争 执 时 ， 起 到 仲裁 的 作用 。 

在 基本 模型 中 ， 通 信 的 双方 在 进行 信息 传输 前 ， 首 先 建 立 起 一 条 逻辑 通道 ， 并 提供 安全 
的 机 制 和 服务 来 实现 在 开放 网 络 环境 中 信息 的 安全 传输 ， 图 1-1 为 基本 安全 模型 的 示意 图 。 


攻击 者 
图 1-1 基本 安全 模型 示意 图 


信息 的 安全 传输 主要 包括 以 下 两 点 。 

口 从 源 节点 发 出 的 信息 ， 使 用 信息 加 密 等 加 密 技术 对 其 进行 安全 的 转发 ， 从 而 实现 该 信 
息 的 保密 性 ， 同 时 也 可 以 在 该 信息 中 附加 一 些 特征 信息 ， 作 为 源 节点 的 身份 验证 。 
口 源 节点 与 目的 节点 应 该 共享 如 加 密 密 钥 这 样 的 保密 信息 ， 这 些 信息 除了 发 送 双方 和 可 

信任 的 第 三 方 之 外 ， 对 其 他 用 户 都 是 保密 的 。 


P2DR 模型 是 由 美国 国际 互联 网 安全 系统 公司 (ISS) 提 
出 的 动态 网 络 安全 理论 或 称 为 可 适应 网 络 安全 理论 的 主要 
模型 。 该 模型 是 美国 可 信 计 算 机 系统 评价 准则 (TCSEC) 的 
发 展 ， 也 是 目前 被 普遍 采用 的 模型 ， 主 要 由 安全 策略 
(Policy )、 防 护 (Protection )、 检 测 (Detection ) 和 响应 
(Response) 4 部 分 构成 。 其中， 防护 、 检 测 和 响应 构成 了 一 
个 所 谓 完整 的 、 动 态 的 安全 循环 ， 在 安全 策略 的 整体 指导 下 
保证 信息 系统 的 安全 ， 图 1-2 为 其 构成 示意 图 。 

对 于 该 模型 的 各 组 成 部 分 有 如 下 说 明 。 图 12 ?2DR 模型 结构 示意 图 

口 安全 策略 

安全 策略 是 模型 的 核心 ， 所 有 的 防护 、 检 测 和 响应 都 是 依据 安全 策略 实施 的 。 网 络 安全 
策略 一 般 包 括 总 体 安全 策略 和 具体 安全 策略 两 个 部 分 。 

口 防护 

防护 是 根据 系统 可 能 出 现 的 安全 问题 而 采取 的 预防 措施 ， 这 些 措施 通过 传统 的 静态 安全 
技术 实现 。 采 用 的 防护 技术 通常 包括 数据 加 密 、 身 份 认证 \ 访 问 控制 ,授权 和 虚拟 专用 网 (VPN) 
技术 、 防 火 墙 、 安 全 扫描 和 数据 备份 等 。 

口 检测 

当 攻击 者 穿 透 防护 系统 时 ， 检 测 功能 就 会 发 挥 作用 ， 与 防护 系统 形成 互补 。 检 测 是 动态 
响应 的 依据 。 

口 响应 

当 系统 检测 到 危及 安全 的 事件 、 行 为 、 过 程 时 ， 响 应 系统 就 开始 工作 及 对 发 生 事件 进行 
处 理 ， 杜 绝 危 害 的 进一步 草 延 扩大 ， 力 求 系统 尚 能 提供 正常 服务 。 响 应 包括 紧急 响应 和 恢复 
处 理 两 部 分 ， 而 恢复 处 理 又 包括 系统 恢复 和 信息 恢复 。 

总 之 , P2DR 模型 是 在 整体 的 安全 策略 的 控制 和 指导 下 , 在 综合 运用 防护 工具 (如 防火 墙 、 
操作 系统 身份 认证 、 加 密 等 ) 的 同时 ， 利 用 检测 工具 〈 如 漏洞 评估 、 入 侵 检 测 等 ) 了 解 和 评 
估 系 统 的 安全 状态 ， 通 过 适当 的 反应 将 系统 调整 到 “最 安全 ”和 “风险 最 低 ” 的 状态 。 防 护 、 
检测 和 响应 组 成 了 一 个 完整 的 、 动 态 的 安全 循环 ， 在 安全 策略 的 指导 下 保证 信息 系统 的 安全 。 


1.1.3 ”网络 安全 攻防 技术 


“ 道 高 一 尺 ， 魔 高 一 丈 ”， 这 是 网 络 安全 攻击 与 防御 最 好 的 写照 。 有 了 矛 就 有 盾 ， 也 是 相 
互 对 立 的 两 个 方面 。 而 在 网 络 安全 中 ，“ 攻 ”和 “ 防 ” 与 “ 矛 ” 和 “ 盾 ” 非 常 相似 。 

网 络 安全 的 攻防 体系 结构 由 网 络 安全 物理 基础 、 网 络 安全 的 实施 及 工具 和 防御 技术 三 大 
方面 构成 ， 图 1-3 为 其 结构 示意 图 。 

对 于 用 户 来 讲 ， 如 果 不 知道 如 何 攻 击 ， 那 么 再 好 的 防守 也 是 经 不 住 考验 的 ， 目 前 ， 常 用 
的 攻击 技术 主要 包括 5 个 方面 。 

口 网 络 监听 “自己 不 主动 去 攻击 别人 ， 在 计算 机 上 设置 一 个 程序 去 监听 目标 计算 机 与 其 


他 计算 机 通信 的 数据 。 


网 络 安全 攻击 防御 体系 


防御 技术 ， 
攻击 技术 操作 系统 安全 配置 技术 

网 络 扫描 人 

网 六 人 全 防火 墙 技术 

网 络 后 门 与 网 络 隐患 


入 侵 检测 技术 


网 络 安全 的 实施 
Sniffer，X-Scan， 防 火 墙 软 什 ， 入 侵 检 测 软 件 ， 加 密 软件 等 
: C, C+H 等 


网 络 安 全 物理 基础 
UNIX, Linux, Windows 
TCP, IP，UDP，POP，FTP，HTTP 等 


图 1-3 网 络 安全 攻防 体系 结构 


口 网 络 扫描 ”利用 程序 去 扫描 目标 计算 机 开放 的 端口 等 ， 目 的 是 发 现 漏洞 ， 为 入 侵 该 计 
算 机 作 准 备 。 
口 网 络 入 侵 ” 当 探测 发 现 对 方 计算 机 存在 漏洞 以 后 ， 入 侵 到 目标 计算 机 以 获取 信息 。 
口 网 络 后 门 ”成 功 入 侵 目标 计算 机 后 ， 为 了 对 “战利品 ”进行 长 期 控制 ， 在 目标 计算 机 
中 种 植木 马 等 。 
口 网 络 隐身 ”入侵 完毕 退出 目标 计算 机 后 ， 将 自己 入 侵 该 计算 机 的 痕迹 清除 掉 ， 从 而 防 
止 被 对 方 管理 员 发 现 。 
对 于 防御 技术 通常 包括 以 下 4 个 方面 。 
口 操作 系统 的 安全 配置 ”操作 系统 的 安全 是 整个 网 络 安全 的 关键 。 
口 加 密 技术 为 了 防止 被 他 人 (非法 分 子 ) 监听 和 盗 取 数据 ， 通 过 加 密 技 术 将 所 有 的 数 
据 进行 加 密 。 
口 防火 墙 技术 “利用 防火 墙 ， 对 传输 的 数据 进行 限制 ， 从 而 防止 系统 被 入 侵 或 者 是 减 小 
被 入 侵 的 成 功率 。 
口 入 侵 检测 “如果 网 络 防线 最 终 被 攻破 了 ， 需 要 及 时 发 出 被 入 侵 的 警报 。 
另外 ， 为 了 保证 网 络 的 安全 ， 用 户 在 软件 方面 可 以 选择 在 技术 上 已 经 成 熟 的 安全 辅助 工 
具 ， 如 抓 数据 包 软 件 Sniffsr， 网 络 扫描 工具 X-Scan 等 。 另 外 ， 如 果 用 户 具有 较 高 的 编程 能 力 ， 
还 可 以 选择 自己 编写 程序 。 目 前 ， 有 关 网 络 安全 编程 常用 的 计算 机 语言 有 C、C++ 或 者 Perl 等 。 


1.1.4 ”层次 体系 结构 


从 层次 体系 结构 上 ， 通 常 将 网 络 安全 划分 成 物理 安全 、 逻 辑 安全 、 操 作 系 统 安全 和 联网 
安全 4 个 层次 。 


物理 是 指 计算 机 硬件 、 网 络 硬件 设备 等 。 而 物理 安全 是 指 整个 计算 机 硬件 、 网 络 设备 和 
传输 介质 等 一 些 实物 的 安全 。 通 常 物理 安全 包括 如 下 5 个 方面 。 

口 防盗 

与 其 他 的 物体 一 样 ， 物 理 设备 (如 计算 机 〉 也 是 偷窃 者 的 目标 之 一 ， 如 盗 走 硬盘 、 主 板 
等 。 计 算 机 偷窃 行为 所 造成 的 损失 可 能 远 远 超过 计算 机 本 身 的 价值 ， 因 此 必须 采取 严格 的 防 
范 措施 以 确保 计算 机 设备 不 会 丢失 。 

口 防火 

计算 机 机 房 发 生火 灾 一 般 是 由 于 电气 原因 、 人 为 事故 或 外 部 火灾 蔓延 引起 的 。 电 气 设 备 
和 线路 因为 短路 、 过 载 、 接 触 不 良 、 绝 缘 层 破 坏 或 静电 等 原因 引起 电 打 火 而 导致 火灾 。 


人 为 事故 是 指 由 于 操作 人 员 不 慎 如 吸烟 、 乱 扔 烟头 等 ， 使 存在 易 燃 物质 ( 如 
纸 片 、 磁 带 、 胶 片 等 ) 的 机 房 起 火 ， 当 然 也 不 排除 人 为 故意 放火 。 外 部 火灾 


蔓延 是 因 外 部 房间 或 其 他 建筑 物 起 火 蔓延 到 机 房 而 引起 火灾 。 


口 防 静 电 

静电 是 由 物体 间 的 相互 摩擦 、 接 触 而 产生 的 ， 计 算 机 显示 器 也 会 产生 很 强 的 静电 。 静 电 
产生 后 ， 由 于 未 能 释放 而 保留 在 物体 内 ， 会 有 很 高 的 电位 (能 量 不 大 )， 从 而 产生 静电 放电 火 
花 ， 造 成 火灾 。 还 可 能 使 大 规模 集成 电器 损坏 ， 这 种 损坏 可 能 是 不 知 不 觉 造 成 的 。 

口 防 雷 击 

利用 传统 的 避雷 针 防 雷 ， 不 但 增加 雷击 概率 ， 还 会 产生 感应 雷 ， 而 感应 雷 是 电子 信息 设 
备 被 损坏 的 主要 原因 之 一 ， 也 是 易 燃 易 爆 品 被 引 燃 引爆 的 主要 原因 。 

目前 ， 对 于 雷击 的 主要 防范 措施 是 根据 电气 、 微 电子 设备 的 不 同 功 能 及 不 同 受 保护 程序 
和 所 属 保护 层 来 确定 防护 要 点 作 分 类 保护 ， 根 据 雷 电 和 操作 瞬间 过 电压 危害 的 可 能 通道 从 电 
源 线 到 数据 通信 线路 都 应 作 多 层 保 护 。 

口 防 电 磁 泄 露 

与 其 他 电子 设备 一 样 ， 计 算 机 在 工作 时 也 要 产生 电磁 发 射 。 电 磁 发 射 包 括 辐射 发 射 和 传 
导 发 射 两 种 类 型 。 而 这 两 种 电磁 发 射 可 被 高 灵敏 度 的 接收 设备 接收 并 进行 分 析 、 还 原 ， 从 而 
会 造成 计算 机 中 信息 的 泄露 。 

目前 ， 屏 蔽 是 防 电磁 泄露 的 有 效 措施 ， 屏 蔽 方式 主要 包括 电 屏蔽 、 磁 屏蔽 和 电磁 屏蔽 3 
种 类 型 。 


计算 机 的 逻辑 安全 需要 用 口令 、 文 件 许可 等 方法 来 实现 。 例 如 ， 可 以 限制 用 户 登录 的 次 
数 或 对 试探 操作 加 上 时 间 限 制 ， 可 以 用 软件 来 保护 存储 在 计算 机 文件 中 的 信息 。 

限制 存 取 的 另 一 种 方式 是 通过 硬件 完成 的 ， 在 接收 到 存 取 要 求 后 ， 先 询问 并 校 核 口令 ， 
然后 访问 位 于 目录 中 的 授权 用 户 标志 号 。 

另外 ， 有 一 些 安全 软件 包 也 可 以 跟踪 可 疑 的 、 未 授权 的 存 取 企 图 ， 例 如 ， 多 次 登录 或 请 


求 别人 的 文件 。 


操作 系统 是 计算 机 中 最 基本 、 最 重要 的 软件 。 而 且 在 同一 台 计算 机 中 ， 可 以 安装 几 种 不 
同 的 操作 系统 。 例 如 ， 一 台 计 算 机 中 可 以 安装 Windows 7 和 Windows XP 两 种 系统 ， 从 而 构成 
双 系 统 。 

如 果 计 算 机 系统 可 提供 给 许多 人 使 用 ， 操 作 系 统 必须 能 区 分 用 户 ， 以 避免 用 户 间 相互 干 
扰 。 一 些 安全 性 较 高 、 功 能 较 强 的 操作 系统 (如 Windows Server 2008) 可 以 为 计算 机 的 每 一 
位 用 户 分 配 账户 。 通 常 ， 一 个 用 户 一 个 账户 。 操 作 系 统 不 允许 一 个 用 户 修改 由 另 一 个 账户 创 
建 的 数据 。 


联网 安全 是 指 用 户 使 用 计算 机 与 其 他 计算 机 通信 的 安全 ， 通 常 由 以 下 两 个 方面 的 安全 服 
务 来 达到 。 

口 访问 控制 服务 ”用 来 保护 计算 机 和 联网 资源 不 被 非 授权 使 用 。 

口 通信 安全 服务 ”用 来 认证 数据 机 要 性 与 完整 性 ， 以 及 各 通信 的 可 信和 赖 性 。 


1.1.5 ”安全 管理 


随 着 网 络 技术 的 快速 发 展 ， 与 其 相关 的 领域 也 发 生 了 巨大 变化 ， 一 方面 ， 硬 件 平台 、 操 
作 系 统 、 应 用 软件 变 得 越 来 越 复杂 和 难以 实行 统一 管理 ， 另 一 方面 ， 现 代 社 会 生活 对 网 络 的 
依赖 程度 逐渐 加 大 。 因 此 ， 如 何 合理 地 管理 网 络 变 得 至 关 重 要 。 

网 络 管理 包括 监督 、 组 织 和 控制 网 络 通信 服务 ， 及 信息 处 理 所 必 须 的 各 种 技术 手段 和 措 
施 。 网 络 管理 是 为 了 确保 计算 机 网 络 系统 的 正常 运行 ， 并 在 其 出 现 故障 时 能 及 时 响应 和 处 理 。 

一 般 来 讲 ， 网 络 管理 的 功能 包括 配置 管理 、 性 能 管理 、 安 全 管理 和 故障 管理 4 个 方面 。 
由 于 网 络 安全 对 整个 网 络 的 性 能 及 管理 有 着 很 大 的 影响 ， 因 此 已 经 逐渐 成 为 网 络 管理 技术 中 
的 一 个 重要 组 成 部 分 。 

网 络 管理 主要 偏向 于 对 网 络 设备 的 运行 状况 、 网 络 拓扑 、 信 元 〈Cell) 等 的 管理 ， 而 网 络 
安全 管理 则 主要 偏向 于 网 络 安全 要 素 的 管理 。 其 中 ， 网 络 安全 管理 主要 包括 安全 配置 、 安 全 
策略 、 安 全 事件 和 安全 事故 4 个 要 素 内 容 。 


安全 配置 是 指 对 网 络 系统 各 种 安全 设备 、 系 统 的 各 种 安全 规则 、 选 项 和 策略 的 配置 。 它 
不 仅 包括 防火 墙 系统 、 入 侵 检测 系统 、 虚 拟 专用 网 C(VPN) 等 安全 设备 方面 的 安全 规则 、 选 
项 和 配置 ， 而 且 也 包括 各 种 操作 系统 、 数 据 库 系统 等 系统 配置 的 安全 设置 和 优化 措施 。 

安全 配置 能 否 很 好 地 实现 将 直接 关系 到 安全 系统 发 挥 作用 的 能 力 。 若 配置 得 好 ， 就 能 够 
充分 发 挥 安全 系统 和 设备 的 安全 作用 ， 实 现 安全 策略 的 具体 要 求 ， 若 配置 得 不 好 ， 不 仅 不 能 
发 挥 安全 系统 和 设备 的 安全 作用 ， 还 可 能 起 到 副作用 ， 如 出 现 网 络 阻塞 ， 网 络 运行 速度 下 降 
等 情况 。 


安全 配置 必须 得 到 严格 的 管理 和 控制 ， 不 能 被 他 人 随意 更 改 。 同 时 ， 安 全 配置 必须 备案 
存档 ， 必 须 做 到 定期 更 新 和 复查 ， 以 确保 其 能 够 反映 安全 策略 的 需要 。 


安全 策略 是 由 管理 员 制 定 的 活动 策略 ， 基 于 代码 所 请 求 的 权限 为 所 有 托管 代码 以 编程 方 
式 生成 授予 的 权限 。 对 于 要 求 的 权限 比 策略 允许 的 权限 还 要 多 的 代码 ， 将 不 允许 其 运行 。 前 
面 提 到 的 安全 配置 正 是 对 安全 策略 的 微观 实现 ， 合 理 的 安全 策略 又 能 降低 安全 事件 的 出 现 概 
率 。 安 全 策略 的 设施 包括 如 下 3 个 原则 。 
口 最 小 特权 原则 ” 它 是 指 主体 在 执行 操作 时 ， 将 按照 其 所 需 权 利 的 最 小 化 原则 分 配 权利 
的 方法 。 
口 最 小 泄露 原则 它 是 指 主体 执行 任务 时 ， 按 照 主体 所 需要 知道 的 信息 最 小 化 的 原则 分 
配给 主体 权利 。 
口 多 级 安全 策略 ” 它 是 指 主体 与 客体 之 间 的 数据 流向 和 权限 控制 按照 安全 级 别 绝密 
(TS)、 秘 密 (S)、 机 密 (C )、 限 制 (RS ) 和 无 级 别 (U) 这 5 个 等 级 来 划分 。 


事件 是 指 那 些 影响 计算 机 系统 和 网 络 安全 的 不 正当 行为 。 它 包括 在 计算 机 和 网 络 上 发 生 
的 任何 可 以 观察 到 的 现象 以 及 用 户 通过 网 络 进入 到 另 一 个 系统 以 获取 文件 、 关 闭 系 统 等 。 恶 
意 事件 是 指 攻 击 者 对 网 络 系统 的 破坏 ， 如 在 未 经 授权 的 情况 下 使 用 合法 用 户 的 账户 登录 系统 
或 提高 使 用 权限 、 恶 意 算 改 文件 内 容 、 传 播 恶 意 代码 、 破 坏 他 人 数据 等 。 

安全 事件 是 指 那些 遵守 安全 策略 要 求 的 行为 。 它 包括 各 种 安全 系统 和 设备 的 日 志 及 事件 、 
网 络 设备 的 日 志和 事件 、 操 作 系统 的 日 志和 事件 、 数 据 库 系统 的 日 志和 事件 、 应 用 系统 的 日 
志和 事件 等 方面 内 容 。 另 外 ， 它 能 够 直接 反应 网 络 、 操 作 系统 、 应 用 系统 的 安全 现状 和 发 展 
趋势 ， 是 对 网 络 系统 安全 状况 的 直接 体现 。 


计算 机 系统 和 网 络 的 安全 从 小 的 方面 说 是 计算 机 系统 和 网 络 上 数据 与 信息 的 
保密 性 ， 完 整 性 以 及 信息 、 应 用 、 服 务 和 网 络 等 资源 的 可 用 性 ; 从 大 的 方面 
来 说 ， 越 来 越 多 的 安全 事件 随 着 网 络 的 发 展 而 出 现 ， 比 如 电子 商务 中 抵赖 、 
网 络 扫 描 、 骚 扰 性 行为 、 敲 诈 、 传 播 色 情 内 容 ， 有 组 织 的 犯罪 活动 、 欺 诈 、 
愚弄 ， 所 有 不 在 预料 之 内 的 对 系统 和 网 络 的 使 用 和 访问 均 有 可 能 导致 违反 既 
定安 全 策略 的 安全 事件 。 


由 于 安全 事件 数量 多 、 分 布 不 均 及 技术 分 析 较 复杂 ， 导 致 其 难以 管理 。 在 实际 工作 中 ， 
不 同 的 系统 又 由 不 同 的 管理 员 进 行 管理 。 面 对 大 量 的 日 志和 安全 事件 ， 系 统管 理 员 根本 就 没 
有 时 间 和 精力 对 其 进行 察看 和 分 析 ， 致 使 安全 系统 和 设备 的 安装 形同虚设 ， 没 有 发 挥 其 应 有 
的 作用 。 所 以 ， 安 全 事件 是 网 络 安全 管理 的 重点 和 关键 。 


安全 事故 是 指 能 够 造成 一 定 影响 和 损失 的 安全 事件 ， 它 是 真正 的 安全 事件 。 一 旦 出 现 安 


全 事故 ， 网 络 安全 管理 员 就 必须 采取 相应 的 处 理 措施 和 行动 来 阻止 和 减 小 事故 所 带 来 的 影响 
和 损失 。 

在 出 现 安全 事故 时 ， 管 理 员 必须 及 时 找 出 发 生 事 故 的 源头 、 始 作 俑 者 及 其 动机 并 准确 、 
迅速 地 对 其 进行 处 理 。 另 外 ， 必 须要 有 信息 资产 库 和 强大 的 知识 库 来 支持 ， 以 保证 能 够 准确 
地 了 解 事故 现场 系统 或 设备 的 状况 和 处 理事 故 所 需 的 技术 、 方 法 和 手段 。 


1.1.6 安全 目标 


网 络 信息 安全 的 目标 是 保护 网 络 信息 系统 ， 使 其 减少 危险 、 不 受 威胁 、 不 出 事故 。 从 技 
术 角 度 来 说 ， 主 要 表现 在 系统 的 可 靠 性 、 保 密 性 、 完 整 性 、 认 证 、 可 用 性 以 及 不 可 抵赖 性 等 
方面 。 

现在 计算 机 网 络 安全 的 目标 是 : 均衡 考虑 安全 和 通信 方便 性 。 显 然 ， 要 求 计算 机 系统 越 
安全 ， 则 对 通信 的 限制 和 使 用 的 难度 就 越 大 。 而 现代 信息 技术 的 发 展 又 使 通信 成 为 不 可 缺少 
的 内 容 ， 它 包括 跨 组 织 、 跨 学 科 、 跨 地 区 以 及 全 球 的 通信 。 

一 般 来 说 ， 公 司 或 其 他 经 营 单位 的 安全 措施 应 包括 如 下 3 个 主要 目标 。 

口 对 数据 存 取 的 控制 。 

口 保持 系统 及 数据 的 完整 性 。 

口 能 够 对 系统 进行 恢复 和 对 数据 进行 备份 ( 在 系统 发 生 故障 时 )。 

换 句 话说 ， 一 种 安全 的 信息 技术 系统 要 对 用 户 的 访问 权限 予以 限制 ， 同 时 避免 应 用 软件 
或 数据 的 破坏 ， 更 重要 的 是 当 系 统 失灵 时 能 够 重新 启动 系统 并 保存 重要 数据 的 备份 。 

计算 机 安全 的 重要 性 是 毫 无 疑问 的 。 但 是 计算 机 的 安全 程度 应 与 所 涉及 的 信息 的 价值 相 
适应 。 应 当 有 一 个 从 低 、 中 到 高 级 的 多 层次 的 安全 系统 ， 分 别 对 不 同 重要 性 的 信息 资料 给 予 
不 同 级 的 保护 。 


一 个 拥有 存储 个 人 和 财务 信息 数据 库 的 公司 、 医 院 和 其 他 机 构 都 需要 维护 隐私 ， 这 不 仅 
是 为 了 保护 他 们 客户 的 利益 ， 而 且 也 是 为 了 维护 他 们 自己 公司 的 利益 和 可 信 性 。 

要 维护 存储 在 一 个 单位 或 公司 网 络 上 信息 的 隐私 ， 最 重要 和 最 有 效 的 方法 之 一 就 是 向 普 
通 员工 讲授 安全 风险 和 策略 。 这 种 增强 自我 意识 的 教育 并 非 他 们 考虑 的 一 项 事项 ， 但 它 却 是 
一 项 应 当 实现 的 重要 任务 。 上 毕竟 有 个 别 员 工 很 可 能 会 进行 检测 ， 甚 至 由 于 他 们 自己 粗心 的 行 
为 而 无 意 中 造 成 安全 隐患 。 他 们 还 能 够 监控 同事 的 活动 ， 并 且 可 能 会 了 解 到 一 些 人 在 下 班 后 
复制 文件 、 一 些 人 在 家 里 使 用 不 安全 的 连接 访问 的 网 络 ， 或 者 一 些 其 他 可 疑 的 活动 。 


通常 入 侵 者 或 破坏 者 会 将 虚假 信息 输入 Intemet 或 者 在 使 用 TCP/IP 的 网 络 上 传输 数据 的 
数据 包 中 。 黑 客 能 够 使 电子 邮件 看 起 来 就 像 是 来 自 正在 接收 它们 的 人 ， 或 者 来 自 于 一 家 受信 
任 的 公司 。 

当 破 坏 性 或 伪造 的 数据 包 到 达 网 络 的 外 围 时 ， 防 火 墙 、 杀 毒 软件 和 入 侵 检测 系统 (IDS) 
都 可 以 阻挡 它们 。 但 是 ， 确 保 网 络 安全 的 一 种 更 加 有 效 的 方法 是 在 网 络 的 关键 位 置 就 使 网 络 


通信 和 免 受 询 窃 或 伪造 ， 从 而 保持 通信 的 完整 性 。 

利用 在 Intemet 上 使 用 的 多 种 加 密 方 法 中 的 任意 一 种 ， 都 可 以 保持 数据 的 完整 性 。 目 前 ， 
最 流行 的 方法 之 一 是 使 用 公 钥 加 密 技术 ， 它 使 用 一 种 称 为 密 钥 的 长 代码 块 加 密 通 信 。 网 络 上 
的 每 个 用 户 都 可 以 获得 一 个 或 多 个 密 钥 ， 它 们 是 由 称 为 算法 的 复杂 公式 生成 的 。 


21 世纪 网 络 安全 最 基础 和 最 重要 的 方面 之 一 就 是 从 防御 网 络 〈 重 点 放 在 防御 措施 和 限制 
访问 的 网 络 ) 转变 到 信任 网 络 〈 人 允许 那些 身份 通过 可 靠 验证 的 信任 用 户 访问 的 网 络 ) 。 

为 此 ， 可 以 设置 防火 墙 ， 这 样 就 可 以 迫使 用 户 在 访问 联网 服务 器 时 必须 输入 用 户 名 和 口 
令 。 通 过 匹配 用 户 名 和 口令 或 者 其 他 方法 来 确定 授权 用 户 身份 的 过 程 称 为 身份 验证 。 有 时 可 
以 对 代理 服务 器 (为 用 户 提供 Web 浏览 、 电 子 邮件 和 其 他 服务 的 程序 ， 以 便 对 网 络 之 外 的 用 
户 隐藏 他 们 的 身份 ) 进行 设置 ， 这 样 当 用 户 利 用 Web 上 网 冲浪 或 使 用 其 他 基于 Internet 的 服 
务 之 前 ， 代 理 服 务 器 将 要 求 进行 身份 验证 。 


在 Intemet 的 早期 ， 网 络 安全 主要 强调 的 是 阻止 黑客 或 其 他 未 经 授权 用 户 访问 公司 的 内 部 
网 络 。 然 而 ， 随 着 Internet 用 户 的 快速 增长 ， 通 过 Internet 进行 的 业务 量 也 越 来 越 多 ， 因 此 ， 
这 些 企业 (或 其 他 消费 用 户 ) 经 常 要 进行 的 许多 活动 都 可 能 会 被 黑客 或 罪犯 分 子 利 用 ， 所 以 
现在 最 需要 的 是 与 信任 用 户 和 网 络 的 连接 性 。 

黑客 或 其 他 犯罪 分 子 通常 会 通过 以 下 手段 来 进行 非法 活动 。 

口 直接 访问 对 方 企业 的 信息 系统 下 订单 ， 而 不 再 通过 电话 或 传真 。 

口 利用 Internet 电子 银行 转账 的 方式 付款 。 

口 查找 员工 的 记录 。 

口 为 需要 访问 网 络 的 职员 创建 口令 。 

为 了 保证 这 类 业务 的 安全 性 ， 许 多 企业 的 传统 做 法 就 是 建立 租用 线路 。 租 用 线路 是 由 拥 
有 连接 线路 的 电信 公司 建立 的 点 对 点 连接 或 其 他 连接 。 这 种 方式 非常 安全 ， 因 为 它们 直接 将 
两 个 企业 网 络 连接 起 来 ， 其 他 公司 或 用 户 不 能 使 用 该 电缆 或 连接 。 但 是 租用 线路 的 价格 非常 
昂贵 。 

为 了 削减 成 本 ， 许 多 已 经 具有 与 Internet 高 速 连接 的 企业 建立 了 虚拟 专用 网 络 (VPN) 。 
VPN 使 用 加 密 、 身 份 验证 和 数据 封装 ， 数 据 封装 是 将 数字 信息 的 数据 包装 入 另 一 个 数据 包 从 
而 保护 前 者 的 过 程 。 这 些 VPN 可 以 在 使 用 Internet 的 计算 机 或 者 网 络 之 间 建 立 安全 的 连接 。 
数据 通过 公众 使 用 的 同一 个 Intemet 从 一 个 VPN 参与 者 传输 到 另 一 个 VPN 参与 者 。 不 过 ， 数 
据 由 各 种 安全 措施 进行 安全 保护 。 

口 在 VPN 连接 的 每 一 端 都 可 以 使 用 防火 墙 阻挡 未 授权 的 通信 。 

口 AAA 服务 器 可 以 对 通过 VPN 拨号 进入 受 保护 网 络 的 用 户 进行 身份 验证 。 它 们 之 所 以 

被 称 为 AAA 服务 器 ， 是 由 于 它们 确定 拨 入 的 用 户 是 谁 (身份 验证 )， 确 定 允 许 用 户 在 
网 络 上 进行 什么 活动 (授权 )， 并 且 记 录用 户 在 连接 期 间 实际 进行 了 什么 活动 (审计 )。 
口 VPN 可 以 用 多 种 数据 加 密 方法 .这 些 方法 包括 日 益 流行 的 Internet 协议 的 安全 (IPSec )， 
可 以 在 计算 机 、 路 由 器 和 防火 墙 之 间 加 密 数据 ， 并 且 使 用 加 密 和 身份 验证 使 数据 沿 着 


VPN 安全 地 传输 。 数 据 以 传送 模式 或 陛 道 模式 沿 着 VPN 发 送 ， 这 两 种 模式 都 加 密 
TCP/IP (传输 控制 协议 /Internet ) 数据 包 的 数据 有 效 负 载 。 
数据 受到 高 度 保护 的 事实 是 建立 了 和 虚拟 “通道 ”一 样 安全 的 连接 ， 如 图 1-4 所 示 。 
具有 IPSec 功能 的 路 由 器 


Sa 


图 1-4 通过 VPN 提供 安全 连接 


1.2 ”网络 安全 评价 标准 


评价 标准 中 比较 流行 的 是 1985 年 由 美国 国防 部 制定 的 可 信 计 算 机 系统 评价 准则 (Trusted 
Computer Standards Evaluation Criteria, TCSEC),， 而 其 他 国家 也 根据 各 自 的 国情 制定 相关 的 网 
络 安全 评价 标准 。 


1.2.1 国内 评价 标准 


在 我 国 根据 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》，1999 年 10 月 经 过 国家 质量 技术 
监督 局 批准 发 布 的 准则 将 计算 机 安全 保护 划分 为 以 下 5 个 级 别 。 

口 第 一 级 

用 户 自 主 保护 级 ， 本 级 的 计算 机 防护 系统 能 够 把 用 户 和 数据 隔 开 ， 使 用 户 具 备 自主 的 安 
全 防护 的 能 力 。 用 户 可 以 根据 需要 采用 系统 提供 的 访问 控制 措施 来 保护 自己 的 数据 ， 避 免 其 
他 用 户 对 数据 的 非法 读 写 与 破坏 。 

口 第 二 级 

系统 审计 保护 级 ， 与 第 一 级 〈 用 户 自 主 保护 级 ) 相 比 ， 本 级 的 计算 机 防护 系统 访问 控制 


更 加 精细 ， 使 得 允许 或 拒绝 任何 用 户 访问 单个 文件 成 为 可 能 ， 它 通过 登录 规则 、 审 计 安 全 性 
相关 事件 和 隔离 资源 ， 使 所 有 的 用 户 对 自己 行为 的 合法 性 负责 。 

口 第 三 级 

安全 标记 保护 级 ， 在 该 级 别 中 ， 除 继承 前 一 个 级 别 〈 系 统 审计 保护 级 ) 的 安全 功能 外 ， 
还 提供 有 关 安 全 策略 模型 、 数 据 标记 以 及 严格 访问 控制 的 非 形 式 化 描述 。 系 统 中 的 每 个 对 象 
都 有 一 个 敏感 性 标签 ， 而 每 个 用 户 都 有 一 个 许可 级 别 。 许 可 级 别 定 义 了 用 户 可 处 理 的 敏感 性 
标签 。 系 统 中 的 每 个 文件 都 按 内 容 分 类 并 标 有 敏感 性 标签 。 任 何 对 用 户 许可 级 别 和 成 员 分 类 
的 更 改 都 受到 严格 控制 。 

口 第 四 级 

结构 化 保护 级 ， 本 级 计算 机 防护 系统 建立 在 一 个 明确 的 形式 化 安全 策略 模型 上 ， 它 要 求 
第 三 级 (安全 标记 保护 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 的 主体 (引起 信息 在 客 
体 上 流动 的 人 、 进 程 或 设备 ) 和 客体 (信息 的 载体 )。 系 统 的 设计 和 实现 要 经 过 彻底 的 测试 和 
审查 。 系 统 应 结构 化 为 明确 而 独立 的 模块 ， 实 施 最 少 特权 原则 。 必 须 对 所 有 目标 和 实体 实施 
访问 控制 政策 ， 要 有 专职 人 员 负 责 实施 。 要 进行 隐蔽 信道 分 析 ， 系 统 必须 维护 一 个 保护 域 ， 
保护 系统 的 完整 性 ， 防 止 外 部 干扰 。 系 统 具 有 相当 的 抗 渗透 能 力 。 

口 第 五 级 

访问 验证 保护 级 ， 本 级 的 计算 机 防护 系统 满足 访问 监控 器 的 需求 。 访 问 监控 器 仲裁 主体 
对 客体 的 全 部 访问 。 访 问 监控 器 本 身 是 抗 算 改 的 ;必须 足够 小 ， 能 够 分 析 和 测试 。 为 了 满足 
访问 监控 器 需求 ， 计 算 机 防护 系统 在 其 构造 时 ， 排 除 那些 对 实施 安全 策略 来 说 并 非 必 要 的 部 
件 ， 在 设计 和 实现 时 ， 从 系统 工程 角度 将 其 复杂 性 降 到 最 小 程度 。 支 持 安全 管理 员 职 能 ， 扩 
充 审计 机 制 ， 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ;提供 系统 恢复 机 制 。 系 统 具 有 很 高 的 抗 
渗透 能 力 。 

我 国 是 国际 化 标准 组 织 (International Standardization Organization，ISO) 的 成 员 国 ,信息 
安全 标准 化 工作 在 全 国信 息 技 术 标准 化 技术 委员 会 、 信 息 安 全 技术 委员 会 和 社会 各 界 的 努力 
下 正在 积极 开展 。 从 20 世纪 80 年 代 中 期 开始 ， 我 国 就 已 经 自主 制定 和 采用 了 一 批 相应 的 信 
息 安 全 标准 。 但 是 ， 标 准 的 制定 需要 较为 广泛 的 应 用 经 验 和 较为 深入 的 研究 背景 ， 相 对 于 国 
际 上 其 他 发 达 国 家 信息 技术 安全 评价 标准 来 讲 ， 我 国 在 这 方面 的 研究 还 存在 差距 ， 较 为 落后 ， 
仍 需 要 进一步 提高 。 


1.2.2 美国 评价 标准 


美国 计算 机 安全 标准 是 由 美国 国防 部 开发 的 计算 机 安全 标准 一 一 可 信 计 算 机 系统 评价 准 
则 ， 也 称 为 网 络 安全 橙 皮 书 ， 主 要 通过 一 些 计 算 机 安全 级 别 来 评价 一 个 计算 机 系统 的 安全 性 。 

在 该 标准 中 定义 的 安全 级 别 描述 了 计算 机 不 同类 型 的 物理 安全 、 用 户 身份 验证 
(CAuthentication)、 操 作 系统 软件 的 可 信任 度 和 用 户 应 用 程序 。 同 时 ， 也 限制 了 什么 类 型 的 系 
统 可 以 连接 到 用 户 的 系统 。 

另外 ， 该 准则 自 1985 年 问世 以 来 ， 一 直 就 没有 改变 过 ， 多 年 来 一 直 是 评估 多 用 户主 机 和 
小 型 操作 系统 的 主要 标准 。 其 他 方面 ， 如 数据 安全 、 网 络 安全 也 一 直 是 通过 该 准则 来 评估 的 。 
如 可 信任 网 络 解释 (Trusted Network Interpretation )、 可 信任 数据 库 解 释 (Trusted Database 
JInterpretation)。TCSEC 将 安全 级 别 从 低 到 高 依次 划分 为 D 类 、C 类 、B 类 和 A 类 4 个 安全 级 
别 ， 每 类 又 包括 几 个 级 别 ， 如 表 1-1 所 示 。 


没有 安全 保护 


LS: | 自主 安全 保护 自主 存储 控制 
C2 受 控 存 储 介质 单独 的 可 查 性 ， 安 全 标识 

B Bl 标识 的 安全 防护 强制 存 取 控 制 ， 安 全 标识 
B2 结构 化 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗透 能 力 
B3 安全 区 域 存 取 监控 ， 高 抗 渗 透 能 力 

A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 


D 级 是 该 标准 中 最 低 的 安全 级 别 ， 该 级 说 明 整 个 系统 是 不 可 信 的 。 换 句 话 说， 拥有 这 个 
级 别 的 操作 系统 就 像 一 个 门户 大 开 的 房子 ， 任 何人 都 可 以 自由 进出 ， 是 完全 不 可 信任 的 。 

对 于 硬件 来 说 ， 没 有 任何 保护 作用 ; 对 于 操作 系统 来 说 较 容易 受到 损害 ， 对 于 用 户 和 他 
们 存储 在 计算 机 上 的 信息 来 讲 ， 没 有 系统 访问 限制 和 数据 访问 限制 ， 任 何人 不 需要 账户 都 可 
以 进入 系统 ， 不 受 限制 就 可 以 访问 他 人 的 数据 文件 。 

属于 该 安全 级 别 的 操作 系统 都 是 早期 的 操作 系统 ， 如 MS-DOS、Windows 98 和 Apple 的 
Macintosh System 7.X 等 。 这 些 操作 系统 不 区 分 用 户 ， 并 且 没 有 定义 一 种 方法 来 决定 谁 来 操 
作 ， 这 些 操作 系统 对 计算 机 硬盘 上 的 信息 都 可 以 访问 ， 而 没有 控制 。 


C 级 安全 级 别 能 够 提供 审慎 的 保护 功能 ， 并 具有 对 用 户 的 行为 和 责任 进行 审计 的 能 力 。 
该 安全 级 别 又 由 Cl 和 C2 两 个 子安 全 级 别 共 同 组 成 。 

口 C1 

C1 安全 级 别 又 称 为 选择 性 安全 保护 (Discretionary Security Protection) 系统 ， 描 述 了 一 个 
典型 的 用 在 UNIX 系统 上 安全 级 别 。 

该 级 别 对 于 硬件 来 说 存在 某 种 程度 上 的 保护 ， 因 此 不 那么 容易 受到 损害 。 如 用 户 拥有 注 
册 账 号 和 口令 ， 系 统 则 通过 该 账号 和 口令 来 识别 用 户 是 否 合法 ， 并 决定 用 户 对 程序 和 信息 拥 
有 什么 样 的 访问 权 ， 但 硬件 受到 损害 的 可 能 性 仍然 存在 。 

用 户 拥有 的 访问 权 是 指 对 文件 和 目标 的 访问 权 。 文 件 的 拥有 者 和 超级 用 户 可 以 改变 文件 
的 访问 属性 ， 从 而 对 不 同 的 用 户 授予 不 同 的 访问 权限 。 

Dc2 

C2 级 除 C1 级 包含 的 特性 外 ， 还 具有 访问 控制 环境 (Controlled Access Environment) 的 安 
全 特征 。 访 问 控制 环境 具有 进一步 限制 用 户 执行 某 些 命令 或 访问 某 些 文件 的 能 力 ， 这 不 仅仅 
是 基于 许可 权限 ， 而 且 还 基于 身份 验证 级 别 。 这 种 级 别 要 求 对 系统 加 以 审核 ， 并 写 入 日 志 
中 ， 例 如， 用 户 何 时 开机 、 哪 个 用 户 在 何 时 何 地 登录 系统 等 。 通 过 查看 日 志 信息 ， 就 可 以 发 
现 入 侵 的 痕迹 ， 如 发 现 多 次 登录 失败 的 日 志 信 息 ， 那 么 可 大 致 得 出 有 人 想 入 侵 系统 。 

另外 ， 审 核 用 来 跟踪 记录 所 有 与 安全 有 关 的 事件 ， 比 如 系统 管理 员 所 执行 的 操作 活动 ， 
审核 对 身份 的 验证 。 审 核 的 缺点 就 是 需要 额外 的 处 理 器 和 磁盘 空间 。 

使 用 附加 身份 验证 就 可 以 让 一 个 C2 级 系统 用 户 在 不 是 超级 用 户 的 情况 下 有 权 执 行 系统 


管理 任务 。 授 权 分 级 使 系统 管理 员 能 够 给 用 户 分 组 ， 授 予 他 们 访问 某 些 程序 的 权限 或 访问 特 
定 的 目录 。 能 够 达到 C2 级 别 的 常见 操作 系统 有 如 下 几 种 类 别 。 

口 UNIX 系统 . 

口 Novell 3.X 或 者 更 高 版 本 。 

口 Windows NT、Windows 2000 和 Windows Server 2003 。 


B 类 安全 等 级 可 分 为 B1、B2 和 B3 3 个 子安 全 级 别 。B 类 系统 具有 强制 性 保护 功能 ， 强 
制 性 保护 意味 着 如 果 用 户 没有 与 安全 等 级 相连 ， 系 统 就 不 会 允许 用 户 存 取 对 象 。 

口 B1 

B1 级 也 称 为 标志 安全 保护 (Labeled Security Protection)， 是 支持 多 级 安全 〈 如 秘密 和 绝 
密 ) 的 第 一 个 级 别 。 这 一 级 说 明 一 个 处 于 强制 性 访问 控制 之 下 的 对 象 ， 不 允许 文件 的 拥有 者 
改变 其 许可 权限 。 


安全 级 别 存在 保密 、 绝 密级 别 ， 这 种 安全 级 别 的 计算 机 系统 一 般 用 于 政府 机 
构 中 ， 比 如 国防 部 和 国家 安全 局 的 计算 机 系统 。 
口 B2 
B2 级 又 称 为 结构 保护 (Structures Protection) 级 别 ， 要 求 计算 机 系统 中 所 有 对 象 都 要 加 注 
标签 ， 而 且 还 要 给 设备 〈 如 磁盘 、 磁 带 等 ) 分 配 单个 或 多 个 安全 级 别 。 这 样 构成 了 一 个 由 较 
高 安全 级 别 的 对 象 与 另 一 个 较 低 安全 级 别 的 对 象 通信 的 级 别 。 
口 B3 
B3 级 又 称 为 安全 域 (Security Domain) 级别， 使 用 安装 硬件 的 方式 来 加 强 域 的 安全 。 例 


如 ， 安 装 内 存 管理 硬件 用 于 保护 安全 域 免 遭 无 授权 访问 或 更 改 其 他 安全 域 的 对 象 。 这 种 级 别 
也 要 求 用 户 的 终端 通过 一 条 可 信任 的 途径 连接 到 系统 上 《如 防火 墙 技术 )。 


CA 


A 级 又 称 为 验证 设计 (Verified Design) 级 别 ， 是 当前 橙 皮 书 的 最 高 级 别 ， 包 含 一 个 严格 
的 设计 、 控 制 和 验证 过 程 。 该 级 别 包含 了 较 低 级 别 的 所 有 的 安全 特性 。 

安全 级 别 设计 必须 从 数学 角度 上 进行 验证 ， 而 且 必 须 进 行 秘密 通道 和 可 信任 分 布 分 析 。 
可 信任 分 布 Trusted Distribution) 的 含义 是 : 硬件 和 软件 在 物理 传输 过 程 中 受到 保护 以 防止 
破坏 安全 系统 。 

另外 ， 橙 皮 书 也 存在 不 足 。 橙 皮 书 是 针对 孤立 计算 机 系统 ， 特 别 是 小 型 机 和 主机 系统 。 
假设 有 一 定 的 物理 保障 ， 该 标准 适合 政府 和 军队 ， 不 适合 企业 ， 这 个 模型 是 静态 的 。 


1.2.3 加拿大 评价 标准 
在 欧洲 研究 和 发 展 计算 机 安全 评估 标准 的 同时 ， 加 拿 大 也 开始 了 这 方面 的 研究 ，1988 年 


8 月 ， 加 拿 大 系统 安全 中 心 (Canadian System Security Center，CSSC) 成 立 ， 主 要 任务 是 开放 
能 满足 加 拿 大 政府 的 独特 要 求 的 标准 和 提高 加 拿 大 的 评估 计算 机 系统 安全 的 能 力 。 


最 早 的 加 拿 大 标准 “加 拿 大 可 信任 计算 机 产品 评估 标准 〈Canadian Trusted Computer 
Product Evaluation Criteria，CTCPEC) ”于 1989 年 5 月 公布 ，1990 年 12 月 推出 了 2.0 版 本 ， 
1991 年 7 月 推出 了 2.1 版 本 ， 并 于 1993 年 推出 了 3.0 版 本 。CTCPEC 3.0 版 本 综合 了 欧洲 
ITSEC 和 美国 TCSEC 的 优点 。 


在 美国 发 表 TCSEC 之 后 ， 欧 洲 各 国 就 开始 对 信息 技术 的 安全 问题 进行 研究 ， 
并 且 发 表 了 自己 的 信息 技术 安全 评价 标准 。1991 年 ， 由 德国 、 法 国 、 荷 兰 和 
英国 共同 合作 并 发 表 了 “信息 技术 安全 评价 标准 ( Information Technology 
Security Evaluation Criteria，ITSEC )” 的 共同 标准 。 


美国 的 TCSEC 主要 针对 的 是 多 用 户 大 型 机 和 小 的 操作 系统 。 而 对 于 数据 库 、 网 络 和 子 系 
统 等 都 只 是 进行 解释 说 明 ， 例 如 ， 可 信 数 据 库 解 释 、 可 信 网 络 解释 。 为 了 避免 使 用 解释 条 
款 ， 加 拿 大 标准 针对 的 目标 更 加 广泛 ， 包 括 大 型 机 、 多 处 理 系 统 、 数 据 库 、 媒 入 式 系统 、 分 
布 式 系统 、 网 络 系统 和 面向 对 象 系统 等 。 

加 拿 大 的 安全 标准 对 开发 的 产品 或 评估 过 程 强调 功能 和 保证 两 个 部 分 。 

口 功能 (Functionality) 

功能 包括 保密 性 、 完 整 性 、 可 用 性 和 审核 4 个 方面 的 标准 。 这 4 个 标准 之 间 可 能 存在 一 
些 相互 依赖 关系 ， 如 果 这 些 标准 在 不 同 服务 之 间 存 在 相互 依赖 关系 ， 这 种 关系 称 为 约束 。 

口 保证 (Assurance) 

保证 包含 保证 标准 ， 是 指 产品 用 以 实现 组 织 的 安全 策略 的 可 信 度 。 保 证 标准 评估 是 对 整 
个 产品 进行 的 。 如 一 个 被 评 为 T-4 保证 级 别 的 标准 ， 那 么 它 所 提供 的 每 个 服务 都 能 达到 该 标 
准 要 求 。 

CTCPEC 标准 制定 的 较为 细致 ， 它 的 功能 标准 中 的 每 个 服务 都 具有 不 同 的 级 别 ， 表 1-2 
列 出 了 它 的 不 同 标准 中 服务 的 级 别 。 


表 1-2 加 拿 大 CTCPEC 中 的 标识 和 级 别 


转换 通道 《Convert Channels) CCO~CC3 


(oT 
O 〇 固 


保密 性 (CConfidentiality ) 


cD 任意 保密 性 (Discretionary Confidentiality) ”CD0 一 CD4 
CM 强制 保密 性 (Mandatory Confidentiality ) CMO~CM4 
CR 对 象 重用 (Object Reuse) CR0 一 CR1 
完整 性 (Integrity) IB 域 完整 性 (Domain Integrity ) IB0~IB2 
ID 任意 完整 性 (Discretionary Integrity) IDO~ID4 
IM 强制 完整 性 (Mandatory Integrity) IM0 一 IM4 
了 物理 完整 性 (Physical Integrity) IP0~IP4 
R 回 滚 (Rollback) IRO~IR2 
IS 责任 分 离 (Separate Of Duties) ISO~IS3 
IT 自我 检测 〈Self Testing) ITO~IT3 
可 用 性 (Availability) AC 封装 (Containment) AC0 一 AC3 
AF 容错 性 (Fault Tolerance) AF0 一 AF3 
AR 健壮 度 (Robustness) AR0 一 AR2 


恢复 (Recovery) AYO~AY3 


吕 


可 审核 度 (Accountability) 审计 (Audit) 

WI 身份 认证 (Identification and Authentication) 
wT 信任 通道 (Trusted Path) 

于 保证 度 (Assurance) 


保证 度 


1.2.4 美国 联邦 标准 


1993 年 , 美国 国家 标准 和 技术 研究 所 (National Institute of Standard and Technology, NIST) 
和 国家 安全 局 (National Security Agency，NSA ) 联邦 标准 (Federal Criteria，FC) 项 目 组 联合 
发 布 了 信息 技术 安全 联邦 标准 (Federal Criteria for Information Technology Security ) 。 

美国 联邦 标准 综合 了 欧洲 的 ITSEC 和 加 拿 大 的 CPCETC 的 优点 ， 用 来 代替 原来 的 橙 皮 书 
TCSEC， 成 为 新 的 联邦 信息 处 理 标准 (Federal Information Processing Standard，FIPS ) 。 

这 个 标准 引入 了 保护 轮廓 〈Protection Profiles) 的 概念 。 保 护 轮廓 是 以 通用 要 求 为 基础 创 
建 的 一 套 独特 的 IT 产品 安全 标准 。 它 是 关于 IT 产品 安全 方面 的 抽象 描述 ， 但 却 独立 于 产品 ， 
描述 了 符合 这 个 安全 需求 的 某 一 类 产品 。 另 外 ， 保 护 轮 廓 需要 对 设计 、 实 现 和 使 用 王 产品 的 
要 求 进行 详细 说 明 。 通 常 ， 保 护 轮廓 由 如 下 5 个 方面 构成 。 


IT 英文 全 称 为 “Information Technology， 信 息 技术 ”， 包 括 硬件 、 软 件 和 应 用 
3 个 层次 。 其 中 , 硬件 主要 是 指数 据 存储 、 处 理 和 传输 的 主机 和 网 络 通信 设备 ; 
软件 包括 可 用 来 搜集 、 存 储 、 检 索 、 分 析 、 应 用 、 评 估 信 息 的 各 种 软件 ， 既 
包括 企业 资源 计划 (ERP )、CRM 客户 关系 管理 (CRM ) 等 商用 管理 软件 ， 

也 包括 用 来 加 强 流程 管理 的 工作 流 ( WF ) 管理 软件 、 辅 助 分 析 的 数据 仓库 和 
数据 挖 气 (DW/DM ) 软件 等 ; 应 用 是 指 搜集 、 存 储 、 检 索 、 分 析 、 应 用 、 评 
估 使 用 的 各 种 信息 ， 


i 


描述 元 素 提供 明确 、 分 类 、 记 录 和 交叉 引用 等 描述 性 信息 。 描 述 性 的 说 明 要 阐述 轮廓 的 
特性 ， 以 及 要 解决 的 问题 。 


i 


基本 原理 部 分 提供 保护 轮廓 的 基本 定位 ， 包 括 威胁 、 环 境 和 使 用 假设 。 另 外 ， 基 本 原理 
还 进一步 说 明 符合 这 个 要 求 的 一 个 开 产品 要 解决 的 安全 问题 的 详细 特征 。 


i 


功能 要 求 部 分 用 来 建立 IT 产品 要 提供 的 信息 保护 范围 。 在 这 个 范围 之 内 对 信息 的 威胁 必 
须 和 这 个 范围 之 内 的 保护 功能 相对 应 。 从 理论 上 讲 ， 威 胁 越 大 ， 保 护 功能 越 强 。 


开发 保证 要 求 部 分 包含 开 产品 的 所 有 开发 阶段 ， 从 初始 的 产品 设计 到 实现 。 特 别 是 开发 
保证 要 求 包含 开发 过 程 、 开 发 环境 和 操作 支持 环境 。 

另外 ， 由 于 多 数 的 开发 保证 要 求 是 随时 可 以 测试 的 ， 因 此 必须 检查 产品 开发 的 证 据 或 者 
是 文档 ， 以 表明 保证 要 求 已 经 达到 ， 且 这 些 证 据 或 文档 需要 保留 ， 供 以 后 评估 使 用 。 


评估 保证 部 分 要 求 详细 说 明 对 某 一 产品 要 进行 怎样 的 评估 ， 包 括 评估 的 类 型 和 强度 ， 通 
常 评估 的 类 型 和 强度 会 随 着 基本 原理 所 描述 的 预期 威胁 、 预 期 使 用 方法 和 假象 环境 的 不 同 而 
不 同 。 


1.2.5 ”共同 标准 


由 于 较 多 的 安全 标准 都 没有 得 到 广泛 的 承认 ， 国 家 标准 化 组 织 于 1990 年 开始 着 力 于 研究 
一 个 共同 标准 。 直 到 1993 年， 德国、 法国、 荷兰、 英国 、 加 拿 大 和 美国 这 6 个 国家 的 7 个 部 
门 联合 在 一 起 ， 才 将 他 们 的 标准 组 合成 一 个 单一 的 全 球 标准 ， 即 信息 技术 安全 评估 共同 标准 
(Common Criteria for Information Technology Security Evaluation，CCITSE)， 通 常 称 为 共同 标 
准 (Common Criteria，CC ) 。 


绪论 和 总 体 模 型 为 CC 的 第 一 部 分 ,该 部 分 是 对 CC 的 介绍 。 它 定义 了 安全 评估 的 总 体 概 
念 和 原则 并 给 出 了 一 个 总 体 的 评估 模型 。 

另外 ， 第 一 部 分 给 出 描述 IT 安全 目标 、 选 择 和 定义 IT 安全 要 求 、 给 产品 和 系统 书写 高 
级 规范 的 结构 。 还 说 明 CC 的 每 个 部 分 对 哪些 人 有 哪些 作用 。 


安全 功能 要 求 为 CC 的 第 二 部 分 , 建立 了 一 套 功 能 要 求 组 件 , 作为 表达 评估 对 象 功能 要 求 
的 标准 方法 。 


安全 保证 要 求 为 CC 的 第 三 部 分 , 建立 了 一 套 保证 组 件 , 作为 表达 评估 对 象 保证 要 求 的 标 
准 方法 。 其 中 ,也 给 出 了 已 经 定义 好 的 CC 评估 保证 级 别 (Evaluation Assurance Level, EAL)。 

CC 评估 保证 级 别 通常 有 7 个 保证 级 ， 称 为 EAL 1 一 EAL 7。 

口 EAL 1 保证 级 

EAL 1 保证 级 为 最 低 的 保证 级 别 ， 它 对 开发 人 员 和 用 户 来 说 是 有 意义 的 。 它 定义 了 最 小 
程度 的 保证 ， 以 产品 安全 性 能 分 析 为 基础 ， 并 以 使 用 功能 和 接口 设计 来 理解 安全 行为 。 

口 EAL 2 保证 级 

EAL 2 保证 级 是 在 不 需要 强加 给 产品 开发 人 员 除 EAL 1 要 求 的 任务 之 外 的 附加 任务 的 情 
况 下 ， 可 授予 的 最 高 的 保证 级 别 。 它 执行 对 功能 和 接口 规范 的 分 析 以 及 对 产品 子 系统 的 高 级 


设计 检查 。 

口 EAL3 保证 级 

EAL3 保证 级 是 一 种 中 间 的 独立 确定 的 安全 级 别 ， 就 是 说 安全 要 由 外 部 源 来 证 实 。 该 级 
别 允 许 设 计 阶 段 给 予 最 大 的 保证 ， 而 测试 过 程 中 几乎 不 加 修改 。 最 大 的 保证 是 指 在 设计 时 已 
经 考虑 到 了 安全 问题 ， 而 不 是 设计 完 之 后 再 实现 安全 性 ， 开 发 人 员 必 须 提供 测试 数据 ， 包 括 
易 受 攻击 的 分 析 ， 并 有 选择 地 加 以 验证 。 

口 EAL 4 保证 级 

EAL 4 保证 级 是 改进 已 有 生产 线 可 行 的 最 高 保证 级 别 。 它 向 用 户 提供 了 最 高 的 安全 级 
别 ， 也 是 以 良好 的 商业 软件 开发 经 验 为 基础 的 。 除 了 具有 EAL 3 级 的 内 容 外 ，EAL 4 还 包含 
对 产品 的 易 受 攻击 性 进行 独立 的 搜索 。 

口 EAL S 保证 级 

EAL 5 保证 级 对 现 有 的 产品 来 说 是 不 易 达 到 的 ， 该 级 别 使 用 于 那些 在 严格 的 开发 方法 中 
要 求 较 高 保证 级 别 的 开发 人 员 和 用 户 。 在 这 一 级 别 上 开发 人 员 也 必须 提出 设计 规范 和 如 何 从 
功能 上 实现 这 些 规范 。 

口 EAL 6 保证 级 

EAL 6 保证 级 包含 一 个 半 正 式 的 验证 设计 和 测试 主 件 ， 并 包含 EAL 5 级 的 所 有 内 容 ， 除 
此 之 外 还 应 提出 实现 的 结构 化 表示 。 同 时 ， 产 品 要 经 受 高 级 的 设计 检查 ， 而 且 必须 保证 具有 
高 度 的 抗 攻击 性 能 。 

口 EAL7 保证 级 

EAL 7 保证 级 用 于 最 高 级 别 的 安全 应 用 程序 。EAL 7 包含 完整 的 、 独 立 的 和 正式 的 设 
计 、 测 试 和 验证 。 


网 络 安全 是 一 个 相对 的 而 非 绝 对 的 概念 ， 所 以 用 户 必须 居安思危 ， 时 时 作 好 防范 准备 。 
网 络 安全 也 是 一 个 动态 更 新 的 过 程 ， 其 对 安全 的 威胁 因素 是 不 可 能 根除 的 ， 所 以 不 能 存在 伐 
幸 心 理 ， 应 时 刻 保持 警惕 。 为 此 ， 用 户 在 使 用 计算 机 或 网 络 时 应 具备 一 些 安全 防范 意识 。 


防火 墙 (Firewall) 是 指 隔离 在 信任 网 络 〈 本 地 网 络 ) 与 不 可 信任 网 络 〈 外 部 网 络 ) 之 间 
的 一 道 防御 系统 。 它 是 一 种 非常 有 效 的 网 络 安全 系统 ， 通 过 它 可 以 隔离 风险 区 域 (Intemet 或 
其 他 存在 风险 的 网 络 》 与 安全 区 域 〈 本 地 网 络 ) 的 连接 ， 而 不 会 妨碍 安全 区 域 对 风险 区 域 的 
访问 。 

但 是 , 在 单位 或 公司 的 网 络 中 , 即使 配置 了 防火 墙 ， 也 不 能 保证 该 网 络 就 是 100% 安 全 的 ， 
因此 不 能 而 掉以轻心 。 


由 于 现在 的 防 病毒 软件 、 防 火 墙 等 防御 措施 都 是 被 动 的 ， 它 们 都 是 在 危险 发 生 时 才能 发 
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挥 其 应 有 的 作用 ， 这 对 于 系统 来 说 是 很 不 安全 的 。 主 动 防御 是 指 在 明确 病毒 或 其 他 危险 活动 
所 产生 行为 的 基础 上 ， 对 网 络 中 数据 行为 进行 分 析 ， 查 找 并 终止 类 似 病毒 或 其 他 危险 活动 行 
为 的 产生 。 


@ 3. 安装 系统 补丁 j 


目前 ， 黑 客 、 病 毒 、 木 马 等 大 部 分 危险 因素 都 是 利用 系统 漏洞 ， 编 写 相应 程序 来 实现 入 
侵 的 。 因 此 ， 及 时 安装 系统 补丁 封 堵 系 统 漏洞 也 是 保护 网 络 安全 的 有 效 方法 。 


六 4 提高 用 户 的 安全 意识 “| 


用 户 的 安全 意识 在 一 定 程度 上 对 网 络 安全 起 着 决定 性 的 作用 ， 因 为 大 部 分 黑客 对 网 络 进 
行 的 攻击 都 是 从 用 户 作 为 首要 目标 。 用 户 应 该 注意 以 下 几 个 方面 。 
口 在 发 送信 息 时 ， 应 该 确定 接收 方 的 真实 身份 。 
口 使 用 强 密码 ， 不 要 使 用 简单 的 、 确 实 存在 的 单词 或 个 人 生日 等 信息 作为 密码 ， 因 为 攻 
击 者 通过 口令 探测 工具 很 容易 将 其 猜 出 。 
口 不 要 将 密码 随意 放 在 易 被 发 现 的 位 置 。 
口 养 成 定时 更 换 密码 的 习惯 。 
口 不 同 操作 系统 或 不 同 用 户 要 使 用 完全 不 相同 的 密码 。 不 能 出 现 诸如 adminl、admin2 
等 这 样 只 更 改 部 分 字符 的 密码 。 
口 对 于 使 用 过 的 文件 应 该 使 用 文件 粉碎 机 将 其 彻底 粉碎 ， 不 能 将 文件 随意 丢弃 。 
口 适时 对 磁盘 进行 清理 ， 以 防 留 下 曾经 删除 和 改正 等 使 用 痕迹 。 
网 络 安全 是 一 项 艰巨 的 动态 工程 。 它 的 安全 程度 会 随 着 时 间 的 推移 而 发 生变 化 。 在 信息 
技术 日 新 月 异 的 今天 ， 网 络 安全 的 实现 要 随 着 时 间 和 网 络 环境 的 变化 或 技术 的 发 展 而 不 断 调 
整 自身 的 安全 防范 策略 。 


1.3 常见 的 安全 威胁 与 攻击 


计算 机 网 络 安全 受到 的 威胁 不 仅 包括 “黑客 ”的 攻击 、 计 算 机 病毒 和 拒绝 服务 攻击 (Denial 
of Service Attack)， 还 包括 常见 的 非 授权 访问 、 假 冒 合 法 用 户 、 数 据 完整 性 受 破坏 和 通信 线路 
被 窃听 。 


1.3.1 网 络 系统 自身 的 脆弱 性 


网 络 系统 自身 由 于 系统 主体 和 客体 的 原因 可 能 存在 不 同 程度 的 脆弱 性 ， 因 此 为 各 种 动机 
的 攻击 提供 了 入 侵 、 骚 扰 或 破坏 网 络 系统 的 途径 和 方法 。 网 络 系统 自身 的 脆弱 性 是 指 网 络 系 
统 的 硬件 资源 、 通 信 资 源 、 软 件 及 信息 资源 等 ， 因 可 预见 或 不 可 预见 甚至 恶意 的 原因 而 可 能 
导致 系统 受到 破坏 、 更 改 、 泄 露 和 功能 失效 ， 从 而 使 系统 处 于 异常 状态 ， 甚 至 骨 溃 瘫痪 等 。 


网 络 系统 硬件 资源 的 安全 隐患 来 源 于 设计 ， 主 要 表现 为 物理 安全 方面 的 问题 。 例 如 ， 各 
种 计算 机 或 网 络 设备 〈 如 主机 、 电 缆 、 交 换 机 、 路 由 器 等 )， 除 难以 抗拒 的 自然 灾害 外 ， 温 度 、 
湿度 、 尘 埃 、 静 电 、 电 磁场 等 也 可 以 造成 信息 的 泄露 或 失效 。 

另外 ， 网 络 系统 在 工作 时 ， 会 向 外 辐射 电磁 波 ， 易 造成 敏感 信息 的 泄露 。 由 于 这 些 问 题 
是 固有 的 ， 除 在 管理 上 强化 人 工 弥补 措施 外 ， 采 用 软件 程序 的 方法 见效 不 大 。 因 此 在 设计 硬 
件 或 选 购 硬件 时 ， 应 尽 可 能 减少 或 消除 这 类 安全 隐患 。 


软件 资源 的 安全 隐患 来 源 于 设计 和 软件 工程 中 的 问题 。 软 件 设计 中 的 疏忽 可 能 留 下 安全 
漏洞 ， 软 件 设计 中 不 必要 的 功能 元 余 及 软件 过 长 、 过 大 ， 不 可 避免 地 存在 安全 脆弱 性 ， 软 件 
设计 不 按 信息 系统 安全 等 级 要 求 进行 模块 化 设计 ， 导 致 软件 的 安全 等 级 不 能 达到 所 声称 的 安 
全 级 别 ， 软 件 工程 实现 中 造成 的 软件 系统 内 部 逻辑 混乱 ， 导 致 垃圾 软件 ， 从 安全 角度 考虑 这 
种 软件 是 绝对 不 能 用 的 。 


当前 计算 机 网 络 系统 使 用 的 TCP/IP 协议 以 及 FTP、E-mail、NFS 中 都 包含 着 许多 影响 网 
络 安 全 的 因素 ， 存 在 许多 安全 漏洞 ， 主 要 有 如 下 几 方 面 的 原因 。 

口 缺乏 对 通信 双方 真实 身份 的 鉴别 机 制 

由 于 TCP/IP 协议 使 用 了 P 地 址 作为 网 络 节点 的 唯一 标识 ， 而 IP 地 址 的 使 用 和 管理 又 存在 
很 多 问题 ， 因 而 导致 安全 问题 。 

口 缺乏 对 路 由 协议 的 鉴别 认证 

TCP/IP 在 I 卫 层 上 缺乏 对 路 由 协议 的 安全 认证 机 制 ， 对 路 由 信息 缺乏 鉴别 与 保护 。 因 此 ， 
可 以 通过 Internet 利用 路 由 信息 修改 网 络 传输 路 径 ， 误 导数 据 的 传输 。 

口 TCP/UDP 协议 的 缺陷 

TCP/UDP 是 基于 卫 协议 上 的 传输 协议 , TCP 分 段 和 UDP 数据 包 是 封装 在 IP 包 中 在 网 络 
中 传输 的 ， 因 此 可 能 面临 他 层 所 遇 到 的 安全 威胁 。 

另外 , 建立 一 个 完整 的 TCP 连接 , 需要 经 历 “ 三 次 握手 ”过 程 。 在 客户 /服务 器 模式 的 “三 
次 握手 ”过 程 中 ,假如 客户 机 的 卫 地 址 是 假 的 ， 是 不 可 达 的 ， 那么 TCP 不 能 完成 该 次 连接 所 
需 的 “三 次 握手 ” 使 TCP 连接 处 于 “ 半 开 ”状态 。 因 此 ， 也 会 带 来 安全 隐患 。 


数据 管理 系统 (DBMS ) 对 数据 库 的 管理 是 建立 在 分 级 管理 的 概念 上 的 。 因 此 ，DBMS 
的 安全 也 是 可 想 而 知 。 另 外 ，DBMS 的 安全 必须 与 操作 系统 的 安全 相配 套 ， 这 是 一 个 不 足 
之 处 。 


1.3.2 网络 面临 的 安全 威胁 


网 络 威胁 是 对 网 络 安全 缺陷 的 潜在 利用 ， 这 些 缺 陷 可 能 导致 非 授权 访问 、 信 息 泄露 、 资 


源 耗 尽 、 资 源 被 盗 或 者 被 破坏 等 。 

由 于 网 络 需 要 与 外 界 联系 ， 因 此 也 就 受到 许多 方面 的 威胁 ， 而 且 这 些 威胁 随 着 时 间 的 变 
化 而 变化 。 这 些 威胁 包括 物理 威胁 、 系 统 存在 安全 漏洞 所 造成 的 威胁 、 身 份 鉴别 威胁 、 线 费 
连接 威胁 及 有 害 程序 的 威胁 等 ， 图 1-5 为 它们 相互 关系 示意 图 。 


图 1-5 网 络 安全 威胁 类 型 


物理 安全 是 指 用 来 保护 计算 机 硬件 和 存储 介质 的 装置 和 工作 程序 。 有 关 物 理 威胁 通常 包 
括 以 下 4 个 方面 内 容 。 

口 偷窃 

网 络 安全 中 的 偷窃 包括 偷窃 物理 设备 、 偷 窃 信息 和 偷窃 服务 等 内 容 。 例 如 ， 某 人 想 要 偷 
窃 的 信息 存放 在 计算 机 中 ， 一 方面 可 以 将 整 台 计 算 机 偷 走 ， 另 一 方面 也 可 以 通过 监视 器 读 取 
计算 机 中 的 信息 。 

口 废物 搜寻 

废物 搜寻 是 指 在 人 们 遗弃 不 用 的 废物 〈 如 一 些 由 打印 机 打印 而 不 用 的 材料 或 废弃 的 磁盘 
等 ) 中 搜寻 所 需要 的 重要 信息 。 在 计算 机 上 ， 废 物 搜寻 可 能 包括 从 未 格式 化 的 软盘 或 硬盘 中 
获取 有 用 资料 。 

口 间谍 行为 

间谍 行为 是 一 种 为 了 省 钱 或 获取 有 价值 的 信息 ， 而 采用 不 道德 的 手段 获取 信息 的 方式 。 

口 身份 识别 错误 

身份 识别 错误 是 指 用 户 通过 非法 手段 建立 文件 或 记录 ， 并 企图 将 它们 作为 有 效 的、 正式 
的 文件 或 记录 ， 从 而 对 网 络 数据 构成 巨大 威胁 。 例 如 ， 对 那些 具有 身份 鉴别 特征 的 物品 (如 
护照 、 执 照 、 出 生 证 明 或 加 密 的 安全 卡 ) 进行 伪装 ， 属 于 身份 识别 错误 的 范畴 。 


系统 漏洞 是 指 应 用 软件 或 操作 系统 软件 在 逻辑 设计 上 存在 的 缺陷 或 在 编写 时 产生 的 错 
误 ， 这 个 缺陷 或 错误 可 以 被 不 法 者 或 者 黑客 利用 ， 通 过 植 入 木马 、 病 毒 等 方式 来 攻击 或 控制 


整 台 计 算 机 ， 从 而 达到 窃取 用 户 计算 机 中 重要 资料 和 信息 ， 甚 至 破坏 系统 的 目的 。 

具体 来 讲 ， 系 统 漏洞 可 以 造成 如 下 3 种 威胁 。 

口 趁 虚 而 入 

例如 ， 某 用 户 〈A) 停止 了 与 某 个 系统 的 通信 ， 但 由 于 某 种 原因 仍 使 该 系统 上 的 一 个 端口 
处 于 激活 状态 (未 关闭 )， 此 时 用 户 (B) 通过 这 个 端口 进入 该 系统 并 与 之 通信 ， 而 不 必 通 过 
申请 使 用 端口 的 安全 检查 。 从 而 带 来 安全 隐患 。 

口 不 安全 服务 

在 某 些 情况 下 ， 操 作 系统 中 存在 不 安全 的 服务 ， 可 以 绕 过 计算 机 的 安全 检查 机 制 ， 入 侵 
者 就 可 以 利用 这 些 不 安全 服务 入 侵 系统 ， 从 而 发 生 安全 威胁 。 例 如 ， 互 联网 蠕虫 就 是 利用 
Berkeley Internet Name Domain (BIND ) 程序 中 存在 的 这 种 问题 而 直接 得 到 管理 员 (root) 权限 。 

另外 , 还 有 一 类 不 安全 网 络 服务 是 那些 需要 用 户 名 和 口令 来 验证 的 服务 , 如 Telnet 和 FTP 
服务 。 如 果 有 人 使 用 嗅 探 软 件 监视 远程 用 户 和 这 类 服务 器 间 的 连接 ， 那 么 ， 用 户 的 口令 就 能 
够 被 轻而易举 地 窃取 。 


在 UNIX 系统 中 ，BIND 软件 包 是 域名 服务 (DNS ) 中 的 一 个 应 用 最 广泛 的 实 
现 软件 。 如 通过 它 ， 用 户 只 需要 知道 某 个 网 站 的 域名 (如 www.baidu.com ) 而 
不 必 知 道 其 IP 地 址 就 可 以 访问 该 网 站 。 


口 配置 和 初始 化 错误 

在 网 络 中 ， 为 了 维护 服务 器 或 服务 器 中 的 某 个 部 分 ， 而 关闭 该 服务 器 ， 但 当 几 天 后 重新 
启动 该 服务 器 时 ， 可 能 会 发 生 用 户 文件 丢失 或 被 自 改 的 情况 。 这 很 可 能 就 是 系统 在 重新 初始 
化 时 ， 安 全 系统 没有 正确 初始 化 ， 从 而 留 下 了 安全 漏洞 让 人 利用 。 另 外 ， 当 木马 程序 修改 系 
统 的 安全 配置 文件 时 也 会 发 生 这 样 的 情况 。 


身份 鉴别 一 般 是 指 计算 机 决定 用 户 是 否 有 权 在 服务 器 上 进行 操作 〈 如 复制 、 修 改 文 件 或 
文件 夹 等 ) 或 提供 一 些 服务 的 过 程 。 如 果 没有 身份 鉴别 ， 网 络 就 不 会 有 安全 。 通 常 身份 鉴别 
威胁 包括 如 下 4 个 方面 。 

口 口令 圈套 

口令 圈套 是 网 络 安全 的 一 种 诡计 ， 与 冒名 顶替 有 关 。 常 用 的 口令 圈套 通过 一 个 编译 代码 
模块 来 实现 ， 运 行 起 来 和 登录 屏幕 一 模 一 样 ， 被 插入 到 正常 登录 过 程 之 前 ， 最 终 用 户 看 到 的 
只 是 先后 两 个 登录 屏幕 ， 第 一 次 登录 失败 了 ， 所 以 用 户 被 要 求 再 次 输入 用 户 名 和 口令 。 实 际 
上 ， 第 一 次 登录 并 没有 失败 ， 它 将 登录 数据 ， 如 用 户 名 和 口令 写 入 这 个 数据 文件 中 ， 留 待 
使 用 。 

口 口令 破解 

破解 口令 就 好 像 人 们 猜测 自行 车 或 其 他 物品 密码 锁 的 数字 组 合 一 样 ， 在 该 领域 中 已 形成 
许多 能 提高 成 功率 的 技巧 。 

口 算法 考虑 不 周 

口令 输入 过 程 必须 在 满足 一 定 条 件 下 才能 正常 地 工作 ， 这 个 过 程 通过 某 些 算法 实现 。 在 


一 些 攻击 入 侵 案 例 中 ， 入 侵 者 采用 超 长 的 字符 串 破 坏 口 令 算 法 ， 成 功 地 进入 计算 机 系统 。 

口 编辑 口令 

编辑 口令 需要 依靠 操作 系统 漏洞 ， 如 某 部 门 内 部 的 人 员 建 立 一 个 虚设 的 账户 或 修改 一 个 
隐 含 账户 的 口令 ， 这 样 知道 该 账户 名 称 和 口令 的 人 员 便 可 以 访问 该 计算 机 了 。 


随 着 网 络 技术 的 发 展 ， 网 络 线 缆 的 连接 对 计算 机 数据 造成 了 新 的 安全 威胁 ， 通 常 包 括 以 
下 3 个 方面 。 

口 窃听 

窃听 是 指 对 通信 过 程 进 行窃 听 以 达到 收集 信息 的 目的 ， 这 种 电子 窃听 不 需要 窃听 设备 一 
定安 装 在 线 缆 上 ， 通 过 检测 从 连 线 上 发 射出 来 的 电磁 辐射 就 能 获取 所 要 的 信号 ， 为 了 使 单位 
或 公司 内 部 的 通信 有 一 定 的 保密 性 ， 可 以 通过 加 密 手 段 来 防止 信息 被 解密 。 

口 拨号 进入 

拥有 一 个 调制 解 调 器 (Modem) 和 一 个 电话 号 码 ， 每 个 人 都 可 以 试图 通过 远程 拨号 访问 
网 络 ， 尤 其 是 拥有 所 要 攻击 的 网 络 的 用 户 账户 时 ， 会 对 网 络 造成 很 大 的 威胁 。 

口 冒名 顶替 

冒名 项 蔡 是 指 通过 使 用 别人 的 密码 和 账号 ， 来 获得 对 网 络 及 其 数据 、 程 序 的 使 用 能 力 。 
这 种 办 法 实现 起 来 并 不 容易 ， 而 且 一 般 需 要 有 机 构 内 部 的 、 了 解 网 络 和 操作 过 程 的 相关 人 员 
参与 。 


有 害 程序 是 一 种 能 够 危害 计算 机 系统 和 网 络 安全 的 程序 ， 通 常 这 些 有 害 程序 都 是 由 编程 
技术 高 超 的 用 户 编写 ， 用 以 进行 破坏 操作 及 谋求 个 人 利益 。 通 常 包括 如 下 3 个 方面 的 威胁 。 

口 病毒 

病毒 是 一 种 把 自己 的 备份 附着 于 计算 机 中 另 一 程序 上 的 一 段 代码 。 通 过 这 种 方式 病毒 可 
以 进行 自我 复制 ， 并 随 着 所 附着 的 程序 在 计算 机 之 间 传 播 。 

口 代码 炸弹 

代码 炸弹 是 一 种 具有 杀伤 力 的 代码 ， 其 运行 原理 是 一 旦 达到 了 制作 者 所 设 定 的 日 期 或 钟 
点 ， 或 用 户 在 计算 机 中 进行 了 某 种 操作 ， 代 码 炸弹 就 会 被 触发 并 开始 产生 破坏 性 操作 。 代 码 
炸弹 不 必 像 病 毒 那样 四 处 传播 。 例 如 ， 程 序 员 将 代码 炸弹 写 入 软件 中 ， 使 其 产生 了 一 个 不 能 
轻易 被 使 用 者 找到 的 安全 漏洞 ， 一 旦 该 代码 炸弹 被 触发 后 ， 该 程序 员 便 会 被 请 来 修正 这 个 错 
误 ， 并 赚 到 一 笔 钱 ， 这 种 高 技术 的 敲诈 使 受害 者 不 知道 被 敲诈 了 ， 即 便 有 疑心 也 无 法 证 实 自 
己 的 猜测 。 

口 特洛伊 木马 

特洛伊 木马 程序 一 旦 被 安装 到 计算 机 中 ， 便 可 按照 编制 者 的 意图 运行 。 特 洛 伊 木马 能 够 
摧毁 数据 ， 有 时 伪装 成 系统 上 已 有 的 程序 ， 有 时 创建 新 的 用 户 名 和 口令 。 


1.3.3 网 络 安全 面临 威胁 的 原因 


目前 ， 无 论 是 中 小 型 企业 还 是 大 型 企业 ， 都 开始 广泛 地 利用 信息 化 手段 来 提升 自身 的 竞 


争 力 。 信 息 化 网 络 可 以 有 效 提高 中 小 企业 的 运营 效率 ， 使 中 小 企业 可 以 更 快速 地 发 展 壮大 。 
然而 在 获得 这 些 利益 的 同时 ， 网 络 信息 的 安全 问题 也 给 许多 大 型 企业 造成 重大 的 损失 ， 这 同 
样 也 在 困扰 着 中 小 型 企业 群体 。 虽 然 中 小 型 企业 的 信息 化 设施 规模 相对 较 小 ， 但 是 其 面临 的 
安全 威胁 却 并 不 比 大 型 企业 少 。 前 面 已 经 讲 过 网 络 所 面临 的 威胁 ， 下 面 就 来 讲解 网 络 安全 面 
临 威胁 的 原因 。 


计算 机 网 络 中 采用 的 认证 方式 通常 是 采用 口令 来 实现 的 。 但 口令 比较 薄弱 ， 有 多 种 方法 
可 以 破译 , 其 中 最 常见 的 两 种 方法 就 是 把 加 密 的 口令 破解 和 通过 信道 窃取 口令 .例如 ,在 UNIX 
操作 系统 中 ， 通 常 是 把 加 密 的 口令 保存 在 某 一 个 文件 中 ， 而 该 文件 对 于 普通 用 户 也 是 可 以 读 
取 的 。 所 以 一 旦 该 口令 文件 被 入 侵 者 通过 简单 复制 的 方式 得 到 ， 他 们 就 可 以 对 口令 进行 解密 ， 
然后 用 它 来 取得 对 系统 的 访问 权 。 


i 


用 户 使 用 Telnet 或 FTP 方式 登录 远程 计算 机 时 ， 需 要 输入 用 户 名 及 密码 ， 而 在 网 络 中 传 
输 的 口令 是 未 被 加 密 的 。 因 此 ， 入 侵 者 就 可 以 通过 监视 携带 用 户 名 和 密码 的 卫 数据 包 从 而 获 
取 它 们 ， 并 使 用 这 些 用 户 名 和 密码 登录 系统 。 假 如 被 截获 的 是 管理 员 的 用 户 名 和 密码 ， 那 么 ， 
获取 该 系统 的 超级 用 户 访问 就 轻而易举 了 。 


如 果 攻 击 者 使 用 IP Source Routing 命令 , 就 可 以 冒充 成 为 一 个 被 信任 的 主机 或 者 客户 ,从 

而 危害 网 络 。 其 实现 过 程 有 以 下 几 个 步骤 。 

口 使 用 被 信任 用 户 人 P 的 地 址 取代 自己 的 瑟 地 址 。 

口 构造 一 条 要 攻击 的 服务 器 和 其 主机 间 的 直接 路 径 ， 把 被 信任 用 户 作 为 通 向 服务 器 路 径 
的 最 后 节点 。 

口 利用 此 路 径 向 服务 器 发 送 用 户 申请 。 

口 服务 器 接受 用 户 申 请 ， 就 好 像 是 从 可 信任 用 户 直 接 发 出 的 一 样 ， 然 后 对 可 信任 用 户 返 
回响 应 。 

口 可 信任 用 户 使 用 这 条 路 径 将 数据 包 向 前 传送 给 攻击 者 的 主机 。 


计算 机 的 安全 管理 不 仅 困 难 且 费时 。 为 了 降低 管理 要 求 并 增强 局 域 网 性 能 ， 一 些 站 点 使 
用 了 诸如 网 络 信息 服务 (Network Information Services) 和 网 络 文件 系统 (Network Files System ) 
之 类 的 服务 。 这 些 服务 通过 允许 一 些 数据 库 〈 如 口令 文件 ) 以 分 布 式 方式 管理 ， 以 及 允许 系 
统 共享 文件 和 数据 ， 在 很 大 程度 上 减轻 了 管理 者 的 工作 量 。 但 这 些 服务 也 带 来 不 安全 因素 ， 
可 以 被 有 经 验 的 疤 入 者 利用 以 获得 访问 权 。 

另外 , 一 些 系 统 出 于 方便 用 户 及 加 强 系统 和 设备 共享 的 目的 , 允许 主机 之 间 相 互 “ 信 任 ”。 
这 样 ， 如 果 一 个 系统 被 入 侵 或 欺骗 ， 那 么 对 于 入 侵 者 来 说 ， 获 取信 任 该 系统 的 其 他 系统 的 访 
问 权 就 很 简单 。 


第 一 篇 ”认识 网 络 安全 


5. 复杂 的 设置 和 控制 ~ 


主机 系统 的 访问 控制 配置 复杂 且 难 于 验证 。 因 此 偶然 的 配置 错误 会 使 间 入 者 获取 访问 权 。 
一 些 主要 的 UNIX 经 销 商 仍然 把 UNIX 配置 成 具有 最 大 访问 权限 的 系统 ， 这 将 导致 未 经 许可 
的 访问 。 许 多 网 上 的 安全 事故 正 是 由 于 入 侵 者 发 现 了 其 设置 中 的 弱点 而 造成 。 


六 5、 无 法 估 测 主机 的 安全 性 


主机 系统 的 安全 性 无 法 很 好 地 估计 。 随 着 一 个 站 点 的 主机 数量 增加 ， 每 台 主机 的 安全 性 
都 处 在 高 水 平 的 能 力 却 在 下 降 。 只 用 管理 一 台 系 统 的 能 力 来 管理 如 此 多 的 系统 就 容易 犯错 误 。 
另 一 个 因素 是 某 些 系统 管理 的 作用 经 常 变换 并 行动 迟缓 。 这 导致 这 些 系统 的 安全 性 比 另 一 些 
要 低 ， 使 其 成 为 网 络 中 的 薄弱 环节 ， 最 终 破坏 了 安全 链 。 


1.3.4 癌 管 心 往 


同 结 安信 等 达 


网 络 安全 涉及 的 问题 非常 多 ， 如 防 病毒 、 防 入 侵 破坏 、 防 信息 和 盗窃、 用 户 身份 验证 等， 
这 些 都 不 是 也 不 可 能 由 单一 产品 来 完成 ， 它 需要 制定 一 个 整体 
策略 来 解决 ， 即 网 络 安全 策略 。 安全 检测 评估 | 
网 络 安全 策略 是 保障 组 织 网 络 安全 的 基础 ， 包 括 安全 检测 
评估 、 安 全 体系 结构 、 安 全 管理 措施 和 网 络 安全 标准 4 个 部 分 ， | 
它们 可 以 组 成 一 个 循环 系统 。 安 全 检测 评估 随 着 安全 标准 的 改 。 ”安全 体系 名 科 
变 而 进行 ， 其 评估 结果 又 会 促进 网 络 体系 结构 的 完善 ， 安 全 管 
理 措施 也 会 随 着 其 他 方面 的 变化 而 增强 。 由 于 技术 的 进步 及 对 


网 络 安全 要 求 的 提高 ， 又 会 促使 网 络 标准 的 改变 。 它 们 之 间 的 1 
关系 如 图 1-6 所 示 。 安全 管理 措施 
1. 安全 检测 评估 


从 安全 角度 看 ， 计 算 机 网 络 在 接 入 Intemet 前 的 检测 与 评估 
是 保障 网 络 安全 的 重要 措施 。 但 大 多 数组 织 并 没有 这 样 做 就 把 
网 络 接 入 Intermet。 为 此 介绍 一 下 安全 检测 评估 需要 考虑 的 一 些 ”图 1-6 网 络 安全 策略 循环 系统 
方面 。 

口 网 络 设备 

重点 检测 与 评估 连接 不 同 网 段 的 设备 和 连接 广域网 (WAN) 的 设备 ， 如 交换 机 (Switch)、 
网 桥 和 路 由 器 等 。 这 些 网 络 设备 都 有 一 些 基 本 的 安全 功能 ， 如 密码 设置 、 存 取 控制 列表 等 ， 
应 充分 利用 这 些 设备 的 功能 。 

口 网 络 操作 系统 

网 络 操作 系统 是 网 络 信息 系统 的 核心 ， 其 安全 性 占据 十 分 重要 的 地 位 。 根 据 美国 的 “可 
信 计 算 机 系统 评估 准则 ”， 把 计算 机 系统 的 安全 性 从 高 到 低 划 分 为 4 个 等 级 , 即 A、B、C、D。 
DOS、Windows 3.x/95、MacOS 7.1 等 系统 属于 DD 级 , 即 是 最 不 安全 的 。Windows NT/2000/XP、 
UNIX、Netware 等 则 属于 C2 级 ， 一 些 专用 的 操作 系统 可 能 会 达到 B 级 。C2 级 操作 系统 已 经 
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有 了 许多 安全 特性 , 但 必须 对 其 进行 合理 的 设置 和 管理 , 才能 使 其 发 挥 作用 。 如 在 Windows NT 
下 设置 共享 权限 时 ， 默 认 设 置 是 所 有 用 户 都 是 “完全 控制 (Full Control)” 权 限 ， 必 须 对 其 进 
行 更 改 。 

口 数据 库 及 应 用 软件 

数据 库 在 信息 系统 中 的 应 用 越 来 越 广泛 ， 其 重要 性 也 越 来 越 强 ， 如 银行 用 户 账 号 信息 、 
网 站 的 登记 用 户 信 息 、 企 业 财务 信息 、 企 业 库 存 及 销售 信息 等 都 存在 各 种 数据 库 中 。 数 据 库 
也 具有 许多 安全 特性 ， 如 用 户 的 权限 设置 、 数 据 表 的 安全 性 、 备 份 特 性 等 ， 利 用 好 这 些 特性 
也 是 同 网 络 安全 系统 很 好 配合 的 关键 。 

口 E-mail 系统 

E-mail 的 应 用 范围 比 数据 库 的 应 用 还 要 广泛 ， 而 网 络 中 的 绝 大 部 分 病毒 是 由 E-mail 传播 
的 ， 因 此 ， 其 检测 与 评估 也 变 得 十 分 重要 。 

口 Web 站 点 

许多 Web Server 软件 (如 ITS 等 ) 有 安全 漏洞 ， 相 应 的 产品 供应 商 也 在 不 断 解决 这 些 问 
题 。 通 过 检测 与 评估 ， 进 行 合理 的 设置 与 安全 补丁 程序 ， 可 以 把 危险 尽量 降低 。 


@ 2. 安全 体系 结构 ) 


安全 体系 结构 包括 物理 安全 、 访 问 控制 、 数 据 保 密 、 数 据 完整 性 和 路 由 控制 5 个 方面 


内 容 。 
口 物理 安全 
物理 安全 是 指 在 物理 介质 层次 上 对 存储 和 传输 中 的 网 络 信息 进行 安全 保护 ， 是 网 络 信息 
安全 的 基本 保障 。 它 应 从 自然 灾害 〈 地 震 、 火 灾 、 洪 水 )、 物 理 损坏 〈 硬 盘 损 坏 、 设 备 使 用 到 
期 、 外 为 损坏) 和 设备 故障 〈 停 电 断 电 、 电 磁 和 干扰) 电磁 辐射 、 乘 机 而 入 、 痕 迹 泄露 等 ， 操 
作 失 误 〈 格 式 硬 盘 、 线 路 拆除 )、 意 外 疏漏 这 3 个 方面 考虑 。 

口 访问 控制 

访问 控制 将 用 户 和 数据 进行 分 类 ， 进 而 设置 用 户 对 数据 的 访问 权限 ， 只 有 被 授权 的 用 户 
才能 访问 相应 的 数据 。 

口 数据 保密 

数据 保密 是 保护 网 络 中 各 系统 之 间 的 交换 数据 ， 防 止 数据 被 截获 而 造成 泄密 。 它 包括 连 
接 保密 〈 如 对 某 个 连接 上 的 所 有 用 户 数据 进行 保密 )、 选 择 字段 保密 《如 对 某 一 协议 数据 单元 
中 的 一 部 分 选择 自动 进行 保密 ) 和 信息 流 保密 《对 从 观察 信息 流 就 能 获取 的 信息 进行 保密 ) 3 
个 方面 。 

口 数据 完整 性 

数据 完整 性 保证 接收 方 收 到 的 信息 与 发 送 方 发 送信 息 的 一 致 性 ， 包 括 可 恢复 的 完整 性 、 
无 恢复 的 完整 性 、 选 择 字段 的 完整 性 。 

口 路 由 控制 

在 大 型 网 络 中 ， 从 源 节 点 到 目的 节点 可 能 会 有 多 条 线路 ， 有 些 线路 可 能 是 安全 的 ， 但 有 
些 则 是 不 安全 的 。 通 过 路 由 控制 机 制 ， 可 使 信息 发 送 者 选择 特殊 路 由 ， 以 保证 数据 的 安全 性 。 


@ 3. 安全 管理 措施 |) 


网 络 安全 管理 既 要 保证 网 络 用 户 和 网 络 资源 不 被 非法 使 用 ， 又 要 保证 网 络 管理 系统 本 身 


@ 
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不 被 未 经 授权 的 访问 。 制 定 合 理 的 安全 管理 措施 是 保证 网 络 安全 的 重要 策略 之 一 。 它 常 包括 
以 下 几 个 方面 内 容 。 
口 网 络 设备 的 安全 管理 包括 网 络 设备 的 互联 、 配 置 更 改 等 原则 。 
口 软件 的 安全 管理 ” 它 包 括 软 件 的 使 用 原则 、 配 置 更 改 原 则 和 权限 设置 原则 等 方面 。 
口 密 钥 的 安全 管理 ” 它 包括 密 钥 的 生成 、 检 验 、 分 配 、 人 保存、 更换、 注入 、 销 毁 等 。 
口 管理 网 络 的 安全 管理 ”网 络 管理 是 集 网 络 维护 、 运 营 和 信息 管理 为 一 体 的 综合 管理 系 
统 。 主 要 功能 包括 性 能 管理 、 配 置 管理 、 故 障 管理 和 计 费 管理 等 。 
口 安全 的 行政 管理 ”安全 的 行政 管理 的 重点 是 安全 组 织 的 建立 、 安 全 人 事 管 理 、 安 全 责 
任 与 监督 等 。 如 在 安全 组 织 结 构 中 ， 应 该 有 一 个 全 面 负责 的 人 ， 负 责 整 个 网 络 信息 系 
统 的 安全 与 保密 。 


@ 4. 网 络 安全 标准 中 


网 络 安全 标准 是 一 个 具有 多 学 科 、 综 合 性 、 规 范 性 等 特点 的 标准 ， 其 目的 在 于 保证 网 络 
信息 系统 的 安全 运行 ， 保 证 用 户 和 设备 操作 人 员 的 人 身 安 全 。 
一 个 完整 、 统 一 、 先 进 的 安全 标准 体系 是 十 分 重要 的 。 通 过 遵循 合适 的 标准 ， 可 以 使 企 
业 或 组 织 的 网 络 安全 有 一 个 较 高 的 起 点 和 较 好 的 规范 性 ， 对 于 网 络 间 的 安全 互 操作 也 起 到 关 
键 作 用 。 国 内 外 已 制定 了 许多 安全 方面 的 标准 ， 主 要 分 为 如 下 4 类 安全 标准 。 
口 基础 类 标准 ” 它 包 括 安 全 词汇 、 安 全 体系 结构 、 安 全 框架 、 信 息 安 全 技术 评价 准则 等 
方面 内 容 。 
口 物理 类 标准 ” 它 包 括 设备 电磁 泄露 规范 、 保 密 设 备 的 安全 保密 规范 等 。 
口 网 络 类 标准 ” 它 包 括 网 络 安 全 协议 、 网 络 安 全 机 制 、 防 火 墙 规 范 等 方面 内 容 。 
口 应 用 类 标准 ” 它 包 括 硬件 平台 的 安全 规范 、 软 件 应 用 平台 规范 、 应 用 业务 安全 规范 、 
安全 工具 开发 规范 、 签 证 机 构 安 全 规范 等 多 方面 内 容 。 


1.4 网 络 安全 的 现状 和 发 展 趋势 


随 着 网 络 应 用 的 日 益 普 及 和 更 为 复杂 ， 网 络 安全 事件 不 断 出 现 ， 如 电脑 病毒 网 络 化 趋势 
愈 来 愈 明显 ， 垃 圾 邮件 日 益 猩 镍 ， 黑 客 攻击 成 指数 增长 ， 利 用 互联 网 传播 有 害 信息 的 手段 日 
益 翻 新 等 。 网 络 再 给 人 们 带 来 自由 开放 的 同时 ， 也 带 来 不 可 忽视 的 安全 风险 ， 目 前 ， 网 络 安 
全 问题 越 来 越 成 为 人 们 关注 的 重点 。 

网 络 安全 问题 已 成 为 信息 时 代 人 类 共同 面临 的 挑战 ， 国 内 的 网 络 安全 问题 也 日 益 突出 
已 成 为 我 国信 息 产 业 健 康 发 展 必 须 面 对 的 严重 问题 。 目 前 ， 各 种 网 络 安全 漏洞 大 量 存在 和 不 
断 被 发 现 ， 漏 洞 公布 到 利用 漏洞 的 攻击 代码 出 现时 间 缩 短 至 几 天 甚至 一 天 ， 使 开发 、 安 装 相 
关 补 丁 及 采取 防范 措施 的 时 间 压 力 增加 ;网络 攻击 行为 日 趋 复杂 ， 防 火 墙 、 入 侵 监测 系统 等 
网 络 安全 设备 不 能 完全 阻挡 网 络 安全 攻击 ; 黑客 攻击 目标 从 单纯 追求 “荣耀 感 ” 向 获取 实际 
利益 方向 转移 ， 针 对 手机 等 无 线 终端 的 网 络 攻击 也 在 进一步 发 展 ， 随 着 网 络 共享 软件 、 群 组 
交互 通信 、 地 址 转移 、 加 密 代理 、 信 件 自 收发 、 无 界 浏览 器 、 动 态 网 络 等 新 型 技术 的 不 断 开 
发 和 应 用 ， 传 统 的 网 络 安全 监管 手段 和 技术 实施 措施 难以 有 效 发 挥 。 


正 是 因为 网 络 安全 威胁 无 处 不 在 ， 才 使 得 安全 这 个 字眼 被 越 来 越 多 地 提 及 。 由 于 网 络 规 
模 的 不 断 扩张 以 及 各 种 应 用 类 型 的 不 断 融合 ， 信 息 社会 正 处 于 一 个 极 大 繁荣 而 又 不 受 控制 的 
“ 喧 器 ”阶段 。 特 别 是 无 线 技术 的 迅猛 发 展 ， 加 速 了 网 络 边 界 从 人 们 视线 中 消失 的 速度 。 而 通 
信 协 议和 网 络 应 用 的 发 展 在 引领 人 们 跨越 交流 障碍 的 同时 , 也 为 各 种 安全 威胁 提供 了 “机 会 ”。 

目前 威胁 主流 操作 系统 的 安全 漏洞 已 经 数 以 千 计 。 即 使 在 一 个 小 型 的 企业 网 中 ， 也 难以 
对 每 个 可 能 发 生 安全 问题 的 地 方 进 行 监控 ， 而 在 浩瀚 的 互联 网 世界 ， 更 是 有 无 以 计数 的 危险 。 

因此 ， 不 管 是 企业 还 是 个 人 用 户 在 使 用 信息 产品 和 网 络 服务 时 ， 都 开始 对 安全 问题 表现 
出 不 同 程度 的 担忧 ， 安 全 性 及 安全 功能 已 经 成 为 焦点 。 未 来 网 络 安全 将 呈现 以 下 发 展 趋势 。 


随 着 我 国信 息 化 建设 的 推进 ， 用 户 对 于 安全 保障 的 要 求 越 来 越 高 ， 对 网 络 安全 的 需求 越 
来 越 大 。 安 全 需求 将 从 单一 安全 产品 发 展 到 综合 防御 体系 ， 从 某 一 点 的 安全 建设 过 渡 到 整个 
安全 体系 的 建设 。 网 络 与 信息 安全 部 署 的 重点 开始 由 “网 络 安全 ”向 “应 用 安全 ” 妨 变 ， 应 
用 安全 和 安全 管理 会 逐渐 热 起 来 。 


两 极 分 化 包括 专 一 和 融合 两 个 方面 。 诸 如 防火 墙 、( 入 侵 检 测 系统 ) IDS、 内 容 管理 等 产 
品 方案 越 做 越 专 ， 这 是 因为 在 安全 需求 较 高 的 电信 行业 须 应 对 复杂 多 变 的 安全 威胁 。 同 时 ， 
融合 也 是 一 种 趋势 ， 基 本 的 防火 墙 功能 也 被 集成 到 了 越 来 越 多 的 网 络 设备 当中 。 路 由 器 和 交 
换 机 设备 开始 整合 防火 墙 过 滤 功能 。 在 新 出 现 的 一 些 64 位 计算 机 主板 上 ， 也 在 芯片 组 中 提供 
了 防火 墙 功 能 。 

除了 防火 墙 功能 之 外 ， 还 有 很 多 安全 功能 被 整合 进 了 各 种 产品 中 。 在 软件 领域 ， 安 全 功 
能 除了 在 软件 系统 中 被 越 来 越 多 地 考虑 之 外 ， 大 量 进行 网 络 管理 的 软件 都 增加 了 防范 恶意 程 
序 及 行为 的 机 制 。 


俗话 说 ,“ 三 分 技术 ， 七 分 管理 ”， 管 理 作为 网 络 与 信息 安全 保障 的 重要 基础 ， 一 直 售 受 
重视 。 在 国家 宏观 管理 方面 ， 我 国 将 在 “积极 防御 、 综 合 防范 ”的 管理 方针 指导 下 ， 逐 步 建 
立 并 完善 国家 信息 安全 管理 保障 体系 ， 进 一 步 完善 国家 互联 网 应 急 响应 管理 体系 的 建设 ， 加 
快 网 络 与 信息 安全 标准 化 的 制定 和 实施 工作 ， 加 强 电信 安全 监管 和 信息 安全 等 级 保护 工作 ， 
对 电信 设备 的 安全 性 和 信息 安全 专用 产品 实行 强制 性 认证 等 。 

在 网 络 信息 系统 微观 管理 方面 ， 网 络 与 信息 安全 管理 正 逐 渐 成 为 企业 管理 越 来 越 关键 的 
一 部 分 ， 越 来 越 多 的 企业 将 在 近年 内 逐步 建立 自身 的 信息 安全 管理 体系 (ISMS )。 


口 产业 链 : 病毒 木马 编写 者 - 专业 盗号 人 员 - 销售 渠道 - 专业 玩家 。 

口 病毒 不 再 安 于 破坏 系统 ， 销 毁 数 据 ， 而 更 关注 财产 和 隐私 。 

口 电子 商务 成 为 热点 ， 针 对 网 络 银行 的 攻击 也 更 加 明显 。 

口 病毒 会 更 加 盯 紧 在 线 交 易 环节 ， 从 早期 的 虚拟 价值 盗窃 转向 直接 金融 犯罪 。 


财富 的 诱惑 ， 使 得 黑客 对 网 络 的 袭击 不 再 是 一 种 个 人 兴趣 ， 而 是 变 成 一 种 有 组 织 的 、 利 
益 驱 使 的 职业 犯罪 。 例 如 ， 使 用 拒绝 服务 进行 的 敲诈 勒索 和 “网 络 钓鱼 ”等 。 


我 国 仍然 是 恶意 软件 最 多 的 国家 。 恶 意 软件 在 行为 上 将 有 所 改观 ， 病 毒化 特征 削弱 ， 但 
手段 更 “高 明 ”， 包 含 更 多 的 钓鱼 欺骗 元 素 。 


网 页 挂 马 成 为 网 络 木 马 传播 的 “帮凶 ”使 得 服务 器 端 系统 资源 和 流量 带宽 资源 大 量 损失 。 
另外 ， 客 户 端的 用 户 个 人 隐私 也 将 受到 威胁 。 


由 于 当前 应 用 软件 在 开发 中 都 存在 这 样 或 那样 的 不 足 ， 这 些 不 足 常 被 入 侵 者 发 现 并 加 以 
利用 ， 新 的 漏洞 出 现 要 比 设备 制造 商 修补 的 速度 更 快 。 另 外 ， 在 一 些 嵌 入 式 系统 中 的 漏洞 难 
以 修补 。 


Web 2.0 是 以 网 络 相 秒 (Flickr)、 克 雷 格 列表 (Craigslist)、 人 际 关系 网 (Linkedin)、 交 
友 网 站 (Friendster) 等 网 站 为 代表 ， 以 博客 (Blog)、 标 签 (TAG)、 社 会 性 网 络 服务 (Social 
Networking Services，SNS)、 简 易 信息 集合 (RSS)、 多 人 协作 写作 工具 (Wiki) 等 应 用 为 核 
心 ， 依 据 六 度 分 隔 、 可 扩展 标示 语言 (Xml)、 创 建交 互 式 Web 应 用 程序 而 无 需 牺牲 浏览 器 兼 
容 性 的 流行 方法 〈Ajax) 等 新 理论 和 技术 实现 的 互联 网 新 一 代 模 式 。 

然而 ， 以 博客 、 论 坛 为 首 的 Web 2.0 产品 将 成 为 病毒 和 网 络 钓鱼 的 首要 攻击 目标 , 社区 网 
站 上 带 有 社会 工程 学 性 质 的 欺骗 往往 超过 安全 软件 所 保护 的 范畴 。 

另外 ， 自 动 邮件 发 送 工具 日 趋 成 熟 ， 垃 圾 邮件 制造 者 正在 将 目标 转向 音频 和 视频 垃圾 
邮件 。 


pa 


计算 机 病毒 对 计算 机 系统 及 网 络 所 产生 的 破坏 效应 ， 使 人 们 清醒 地 认识 到 它 所 带 来 的 危 
害 。 目 前 ， 每 年 的 新 病毒 数量 都 是 呈 指 数 级 增长 ， 而 且 由 于 近 几 年 传输 媒介 的 改变 和 因特网 
的 大 面积 普及 ， 导 致 计算 机 病毒 感染 的 对 象 也 开始 由 工作 站 向 网 络 设备 (代理 、 防 护 和 服务 
器 设置 等 ) 转变 ， 病 毒 的 类 型 也 由 文件 型 向 网 络 蠕虫 型 转变 。 如 今 ， 世 界 上 很 多 国家 的 科研 
机 构 都 在 对 病毒 的 现状 和 防护 进行 深入 研究 。 

计算 机 病毒 不 仅 能 够 破坏 用 户 数 据 、 盗 取 用 户 隐私 数据 甚至 会 使 个 人 或 者 企业 甚至 国家 
遭受 经 济 损失 。 因 此 ， 本 章 从 计算 机 病毒 的 起 源 、 发 展 、 定 义 和 结 构 以 及 常见 计算 机 病毒 类 
型 、 计 算 机 病毒 的 危害 及 防范 措施 方面 进行 学 习 ， 使 用 户 全 面 了 解 计 算 机 病毒 ， 避 免 或 者 减 
小 病毒 所 造成 的 破坏 。 


> 了 解 计算 机 病毒 的 起 源 及 发 展 过 程 

> 了 解 计算 机 病毒 的 定义 、 命 名 规则 及 分 类 
> 了 解 计算 机 病毒 的 结构 

> 熟悉 计算 机 病毒 的 特征 及 表现 

> 熟悉 常见 的 计算 机 病毒 类 型 


2.1 计算 机 病毒 概述 


众所周知 ， 对 网 络 安全 最 具 威 胁 的 因素 之 一 就 是 计算 机 病毒 。 计 算 机 病毒 可 以 感染 健康 
的 程序 ， 并 在 短 时 间 内 感染 其 他 计算 机 。 计 算 机 病毒 就 是 能 够 通过 某 种 途径 潜伏 在 计算 机 存 
储 介质 〈 或 程序 ) 里 ， 当 达到 某 种 条 件 时 即 被 激活 的 具有 对 计算 机 资源 进行 破坏 作用 的 一 组 
程序 或 指令 集合 。 


2.1.1 计算 机 病毒 的 起 源 


目前 ， 关 于 计算 机 病毒 的 起 源 还 没有 一 个 确切 的 说 法 。 尽 管 如 此 ， 对 于 计算 机 病毒 的 发 
源 地 ， 人 们 都 一 致 认为 是 在 美国 。 


全 1 科学 幻想 起 源 说 ] 


1977 年 ， 美 国 科普 作家 托马斯 。 丁 。 雷 恩 推 出 龙 动 一 时 的 《Adolescence of P-1》 一 书 。 


书 中 构思 了 一 种 能 够 自我 复制 ， 利 用 信息 通道 传播 的 计算 机 程序 ， 并 称 之 为 计算 机 病毒 。 这 
是 世界 上 第 一 个 幻想 出 来 的 计算 机 病毒 。 人 类 社会 有 许多 现行 的 科学 技术 ， 都 是 在 先 有 幻想 
之 后 才 成 为 现实 的 。 因 此 ， 不 能 否认 这 本 书 的 问世 对 计算 机 病毒 的 产生 所 起 的 作用 。 
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恶作剧 者 大 多 是 那些 对 计算 机 知识 和 技术 均 有 兴趣 的 人 ， 并 且 特 别 热衷 于 别人 认为 是 不 
可 能 做 成 的 事情 ， 因 为 他 们 认为 世上 没有 做 不 成 的 事 。 这 些 人 或 是 要 显示 一 下 自己 在 计算 机 
知识 方面 的 天 资 ， 或 是 要 报复 一 下 别人 或 单位 。 前 者 是 无 恶意 的 ， 所 编写 的 病毒 也 大 多 不 是 
恶意 的 ， 只 是 和 对 方 开 个 玩笑 ， 显 示 一 下 自己 的 才能 以 达到 炫耀 的 目的 。 虽 然 计算 机 病毒 的 
起 源 是 否 归 结 于 恶作剧 者 还 不 能 确定 ， 但 可 以 肯定 ， 世 界 上 流行 的 许多 计算 机 病毒 都 是 恶 作 
剧 者 的 产物 。 


在 20 世纪 70 年 代 ， 计 算 机 在 人 们 的 生活 中 还 没有 得 到 普及 ， 美 国 贝尔 实验 室 的 计算 机 
程序 员 为 了 娱乐 ， 在 自己 实验 室 的 计算 机 上 编制 吃 掉 对 方程 序 的 程序 ， 看 谁 先 把 对 方 的 程序 
吃 光 ， 有 人 认为 这 是 世界 上 第 一 个 计算 机 病毒 ， 但 这 只 是 一 个 猜测 。 


计算 机 软件 是 一 种 知识 密集 型 的 高 科技 产品 ， 由 于 人 们 对 于 软件 资源 的 保护 不 尽 合理 ， 
这 就 使 得 许多 合法 的 软件 被 非法 复制 的 现象 极为 平常 ， 从 而 使 得 软件 制造 商 的 利益 受到 了 严 
重 的 侵害 。 因 此 ， 软 件 制造 商 为 了 处 罚 那些 非法 复制 者 ， 而 在 软件 产品 中 加 入 病毒 程序 并 由 
一 定 条 件 触发 传染 。 例 如 ，Pakistani Brain 病毒 在 一 定 程度 上 就 证 实 了 这 种 说 法 。 该 病毒 是 巴 
基 斯 坦 的 两 兄弟 为 了 追踪 非法 复制 其 软件 的 用 户 而 编制 的 ， 它 只 是 修改 磁盘 卷 标 ， 把 卷 标 改 
为 Brain 以 便 识别 。 也 正 因为 如 此 ， 当 计算 机 病毒 出 现 之 后 ， 有 人 认为 这 是 软件 制造 商 为 了 保 
护 自己 的 软件 不 被 非法 复制 而 导致 的 结果 。 


2.1.2 计算 机 病毒 的 发 展 过 程 


计算 机 病毒 是 一 段 附着 在 其 他 程序 上 的 ， 可 以 实现 自我 繁殖 的 程序 代码 。 自 1985 年 在 美 
国 被 当众 证 明 其 存在 性 之 后 ， 计 算 机 病毒 技术 得 到 了 突飞猛进 的 发 展 。 通 常 ， 计 算 机 病毒 的 
发 展 是 相对 于 计算 机 操作 系统 来 说 的 。 据 此 ， 计 算 机 病毒 经 历 了 如 下 几 个 发 展 阶段 。 


最 早 在 1987 年 ， 计 算 机 病毒 主要 是 引导 型 病毒 ， 具 有 代表 性 的 是 “小 球 ” 2708 病毒 和 
“石头 ”病毒 等 。 由 于 在 该 时 期 的 电脑 硬件 较 少 ， 功 能 简单 ， 经 常 使 用 软盘 启动 和 用 软盘 在 计 
算 机 之 间 传 递 文件 。 而 引导 型 病毒 正 是 利用 了 软盘 的 启动 原理 来 工作 ， 它 能 够 修改 系统 引导 
扇 区 ， 在 计算 机 启动 时 首先 取得 控制 权 ， 减 少 系统 内 存 ， 修 改 磁盘 读 写 中 断 ， 在 系统 存 取 磁 
盘 时 进行 传播 。 


这 些 病 毒 也 是 随 着 软盘 悄悄 地 由 美国 进入 我 国 ， 并 在 人 们 异 懂 之 间 在 大 型 企 
业 和 研究 所 广 为 传 播 。 直 到 病毒 发 作 ， 人 们 才 猛 然 惊 醒 。 目 前 认为 ， 小 球 病 
毒 是 国内 发 现 的 第 一 个 计算 机 病毒 。 


在 1989 年 ， 当 时 家 庭 计算 机 尚未 普及 ， 因 此 各 研究 所 和 高 等 院 校 的 计算 机 密集 地 区 成 了 
计算 机 病毒 的 重 灾区 ， 而 且 往往 是 多 种 不 同 病 毒 的 反复 交叉 感染 。 此 时 的 病毒 称 为 可 执行 文 
件 型 病毒 ， 它 们 利用 DOS 系统 加 载 执行 文件 的 机 制 工作 ， 如 “耶路撒冷 人 “星期 天 ”等 病毒 。 
可 执行 型 病毒 的 代码 在 系统 执行 文件 时 取得 控制 权 , 修改 DOS 中 断 , 在 系统 调用 时 进行 传染 ， 
并 将 自己 附加 在 可 执行 文件 中 ， 使 文件 长 度 增加 。 到 了 1990 年 ， 这 种 病毒 发 展 成 为 复合 型 病 
毒 ， 可 同时 感染 COM 和 EXE 文件 。 

但 是 ， 随 着 软件 技术 的 发 展 ， 人 们 逐渐 了 解 和 掌握 计算 机 病毒 ， 计 算 机 病毒 也 不 再 那么 
神秘 。 人 们 逐渐 研究 出 了 反 病 毒 软件 ， 如 SCAN、TBAV 等 。 


1992 年 ， 伴 随 型 病毒 出 现 ， 利 用 DOS 加 载 文件 的 优先 顺序 进行 工作 。 它 感染 EXE 文件 
的 同时 会 生成 一 个 和 EXE 同名 而 扩展 名 为 COM 的 伴随 体 ; 相反 ， 当 感染 COM 文件 时 ， 改 
为 原来 的 COM 文件 为 同名 的 EXE 文件 ， 再 产生 一 个 原名 的 伴随 体 ， 文 件 扩展 名 为 COM。 这 
样 ， 在 DOS 加 载 文件 时 ， 总 是 先 加 载 扩展 名 为 COM 的 文件 ， 病 毒 文 件 会 取得 控制 权 ， 优 先 
执行 自己 的 代码 。 具 有 代表 性 的 是 “ 金 蝉 ”病毒 。 

伴随 型 病毒 并 不 改变 原来 文件 的 内 容 、 日 期 及 属性 ， 解 除 病毒 时 只 要 将 其 伴随 体 删除 即 
可 。 其 典型 代表 是 “海盗 旗 ” 病 毒 ， 它 在 得 到 执行 时 ， 会 询问 用 户 名 和 口令 ， 然 后 返回 一 个 
出 错 信息 ， 并 将 自身 删除 。 


1994 年 , 汇编 语言 得 到 了 快速 的 发 展 。 一 种 功能 可 以 通过 汇编 语言 用 不 同 的 方式 来 实现 ， 
这 些 方式 的 组 合 使 一 段 看 似 随 机 的 代码 产生 相同 的 运算 结果 。 例 如 ， 典 型 的 变形 病毒 “幽灵 
病毒 ”就 是 利用 了 这 个 特点 ， 每 感染 一 次 就 产生 不 同 的 代码 。“ 一 半 ” 病 毒 就 是 产生 一 段 有 上 
亿 种 可 能 的 解码 运算 程序 ， 病 毒 体 被 隐藏 在 解码 前 的 数据 中 ， 查 解 这 类 病毒 就 必须 能 对 这 段 
数据 进行 解码 ， 因 此 加 大 了 查 毒 的 难度 。 

变形 病毒 是 一 种 综合 性 病毒 ， 它 既 能 感染 引导 区 ， 又 能 感染 程序 区 ， 多 数 具有 解码 算法 ， 
一 种 病毒 往往 要 两 段 以 上 的 子 程序 方 能 解除 。 


1995 年 , 在 汇编 语言 中 , 一 些 数 据 的 运算 放 在 不 同 的 通用 寄存 器 中 可 运算 出 同样 的 结果 ， 
随机 插入 一 些 空 操 作 和 无 关 命 令 ， 也 不 影响 运算 的 结果 。 这 样 ， 某 些 解码 算法 可 以 由 生成 器 
生成 不 同 的 变种 。 例 如 ,“ 病 毒 制造 机 ”VCL， 它 可 以 在 瞬间 制造 出 成 千 上 万 种 不 同 的 病毒 ， 


查 解 时 不 能 使 用 传统 的 特征 码 识别 法 ， 而 需要 在 宏观 上 分 析 命令 ， 解 码 后 方 可 查 解 病毒 ， 大 
大 提高 了 复杂 程度 。 


蠕虫 是 无 须 计算 机 使 用 者 干预 即 可 运行 的 独立 程序 ， 通 过 不 停 地 获得 网 络 中 存在 漏洞 的 
计算 机 上 的 部 分 或 全 部 控制 权 来 进行 蠕动 。1995 年 ， 随 着 网 络 的 普及 ， 病 毒 开 始 利用 网 络 进 
行 传播 ， 它 们 只 是 以 上 几 代 病 毒 的 改进 。 在 Windows 操作 系统 中 ,“ 蠕 虫 ”是 典型 的 代表 ， 它 
不 占用 除 内 存 外 的 任何 资源 ， 不 修改 磁盘 文件 ， 利 用 网 络 功能 搜索 网 络 地 址 进行 传播 ， 有 时 
也 存在 网 络 服务 器 和 启动 文件 中 。 


1996 年 ， 随 着 微软 Windows 和 Windows 95 操作 系统 的 日 益 普及 ， 利 用 Windows 进行 工 
作 的 病毒 开始 发 展 ， 它 们 修改 NE，PE) 文件 ， 典 型 的 代表 是 DS.3873 病毒 ， 这 类 病毒 利用 
保护 模式 和 API 调用 接口 进行 工作 ， 清 除 的 方法 也 比较 复杂 。 
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1996 年 以 后 ， 随 着 MS Office 功能 的 增强 及 流行 ,使 用 Word 宏 语 言 也 可 以 编制 病毒 这 
种 病毒 使 用 VB Script 语言 ， 编 写 容易 ， 感 染 Word 文档 文件 。 在 Excel 和 AmiPro 出 现 的 相同 
工作 机 制 的 病毒 也 属于 此 类 。 


1997 年 以 后 ， 随 着 因特网 的 发 展 ， 各 种 病毒 也 开始 利用 因特网 进行 传播 ， 携 带 病毒 的 数 
据 包 和 邮件 越 来 越 多 ， 如 果 用 户 不 小 心 打 开 这 些 邮件 或 登录 带 有 病毒 的 网 页 ， 计 算 机 就 有 可 
能 中 毒 。 典 型 的 有 “ 尼 姆 达 ”“ 欢 乐 时 光 ” 和 “欢乐 谷 ” 等 病毒 。 

2003 年 ,“2003 蠕虫 王 ”病毒 在 亚洲 、 美 洲 、 澳 大 利 亚 等 地 迅速 传播 ， 造 成 了 全 球 性 的 
网 络 灾害 。 其 中 受害 最 严重 的 无 疑 是 美国 和 韩国 这 两 个 因特网 发 达 的 国家 。 韩 国 70% 的 网 络 
服务 器 处 于 瘫痪 状态 ， 网 络 连 接 的 成 功率 低 于 10%， 整 个 网 络 速度 极 慢 。 美 国 不 仅 公众 网 络 
受到 了 破坏 性 的 攻击 , 而 且 连 银行 网 络 系统 也 遭 到 了 破坏 , 全 国 1.3 万 台 的 自动 取款 机 处 于 竣 
痪 状态 。 

2004 年 是 “蠕虫 ”泛滥 的 一 年 ， 根 据 中 国 计 算 机 病毒 应 急 中 心 的 调查 显示 ，2004 年 10 
大 流行 病毒 都 是 蠕虫 病毒 ， 它 们 分 别 是 网 络 天 空 (Worm.Netsky)、 高 波 (Worm.Agobot)、 爱 
情 后 门 (Worm.Lovgate )、 震 荡 波 〈(Worm.Sasser )、SCO 炸弹 (Worm.Novarg )、 冲 击 波 
(Worm.Blaster)、 恶 座 (Worm.Bbeagle)、 小 邮差 (Worm.Mimail)、 求 职 信 (Worm.Klez)、 大 
无 极 (Worm.SoBig)。 

2005 一 2008 年 是 木马 流行 的 年 代 。2008 年 上 半年 , 江 民 反 病毒 中 心 共 截获 新 病毒 206439 
种 ， 另 据 江 民 病 毒 预警 中 心 不 完 全 统计 ，1 一 6 月 全 国共 有 9871681 台 计 算 机 感染 了 病毒 。 其 
中 感染 木马 病毒 的 计算 机 7749269 台 ， 占 病毒 感染 计算 机 总 数 的 78.5%， 比 去 年 同期 增长 11 
个 百分点 ; 感染 广告 程序 的 计算 机 3849955 台 ， 占 病毒 感染 计算 机 总 数 的 3.9%; 感染 后 门 程 
序 的 计算 机 4540973 台 ， 占 病毒 感染 计算 机 总 数 的 4.6%; 感染 蠕虫 病毒 的 计算 机 2764070 台 ， 


占 病毒 感染 计算 机 总 数 的 2.8%; 监测 发 现 漏洞 攻击 代码 感染 的 计算 机 1184601 台 ， 占 病毒 感 
染 计算 机 总 数 的 1.2%; 感染 脚本 病毒 的 计算 机 888451 台 ， 占 病毒 感染 计算 机 总 数 的 0.9%。 
由 此 可 见 ， 木 马 将 是 未 来 几 年 的 病毒 主流 。 


表 2-1 近年 来 几 种 病毒 带 来 的 巨大 危害 


2006 木马 和 恶意 软件 ( 破 计 ) 不 可 估计 ) 


2005 (破坏 程度 不 可 估计 ) (破坏 程度 不 可 估计 》 
2004 Worm_Sasser 震荡 波 ) (破坏 程度 不 可 估计 ) (破坏 程度 不 可 估计 》 
2003 Worm_Blast (冲击 波 ) 超过 140 万 台 (破坏 程度 不 可 估计 》 
2003 SQL Slammer 超过 20 万 台 9.5 亿 至 12 亿 
2002 Klez 超过 600 万 台 90 亿 

2001 RedCode 超过 100 万 台 26 亿 

2001 NIMDA 超过 800 万 台 60 亿 

2000 Love Letter (破坏 程度 不 可 估计 ) 88 亿 

1999 CIH 超过 6000 万 台 近 100 亿 


如 今 ， 计 算 机 病毒 变 得 更 加 活跃 ， 木 马 、 蠕 虫 、 后 门 等 病毒 层出不穷 ， 甚 至 出 现 了 2006 年 
炒 得 火热 的 流氓 软件 。 自 2000 年 以 来 ， 由 于 病毒 的 基本 技术 和 原理 被 越 来 越 多 的 人 所 掌握 ， 
新 病毒 的 出 现 以 及 原 有 病毒 的 变种 层出不穷 ， 病 毒 的 增长 速度 超过 了 以 往 的 任何 时 期 。 

科技 的 进步 ， 在 带 来 技术 飞跃 的 同时 也 带 来 了 新 的 研究 课题 。 计 算 机 技术 被 迅速 掌握 的 
同时 ， 出 现 了 大 批 以 病毒 盈利 的 程序 开发 者 。 有 专家 总 结 ， 病 毒 发 展 到 今天 ， 开 发 者 已 经 很 
少 或 不 再 以 炫耀 自 己 的 技术 为 主要 目的 ， 更 多 地 把 矛头 对 准 网 络 用 户 的 信息 ， 网 络 犯罪 事件 
大 大 增加 。 幸 好 国内 外 各 大 厂商 已 经 十 分 重视 网 络 安全 问题 ， 纷 纷 出 台 了 不 同 的 安全 防范 
措施 。 


2.1.3 ”计算 机 病毒 的 定义 


计算 机 中 的 病毒 是 一 个 程序 ， 一 段 可 执行 代码 。 与 生物 病毒 一 样 ， 计 算 机 病毒 有 独特 的 
复制 能 力 。 计 算 机 病毒 可 以 很 快 地 营 延 ， 又 常常 难以 根除 。 它 们 能 把 自身 附着 在 各 种 类 型 的 
文件 上 。 当 文件 被 复制 或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ， 它 们 就 随同 文件 一 起 蔓延 开 来 。 

除 复制 能 力 外 ， 某 些 计算 机 病毒 还 有 其 他 一 些 共同 特性 : 一 个 被 污染 的 程序 能 够 传送 病 
毒 载体 。 当 看 到 病毒 载体 似乎 仅仅 表现 在 文字 和 图 像 上 时 ， 它 们 可 能 已 毁坏 了 文件 、 再 格式 
化 硬盘 驱动 或 引发 其 他 类 型 的 灾害 。 若 病毒 并 不 寄生 于 一 个 污染 程序 ， 它 仍然 能 通过 占据 存 
储 空间 带 来 麻烦 ， 并 降低 计算 机 的 全 部 性 能 。 

可 以 从 不 同 角度 给 计算 机 病毒 进行 定义 。 其 中 ， 一 种 定义 是 通过 磁盘 、 磁 带 和 网 络 等 作 
为 传输 媒介 进行 传播 扩散 ， 能 “传染 ”其 他 程序 的 程序 ， 另 一 种 是 能 够 实现 自身 复制 且 借助 
一 定 的 载体 存在 的 具有 潜伏 性 、 传 染 性 和 破坏 性 的 程序 。 

另外 ,在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 明确 定义 ,病毒 是 指 “ 编 
制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 计算 机 使 用 并 且 能 够 自我 


复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

还 有 一 种 定义 是 : 一 种 人 为 制造 的 程序 ， 通 过 不 同 的 途径 潜伏 或 寄生 在 存储 媒体 (如 磁 
盘 、 内 存 ) 或 程序 里 。 当 某 种 条 件 或 时 机 成 熟 时 ， 它 会 自我 复制 并 传播 ， 使 计算 机 的 资源 受 
到 不 同 程度 的 破坏 。 这 些 说 法 在 某 种 意义 上 借用 了 生物 病毒 的 概念 ， 计 算 机 病毒 同 生 物 病毒 
的 相似 之 处 是 计算 机 病毒 能 够 入 侵 计 算 机 系统 和 网 络 ， 危 害 正常 工作 的 “病原 体 ”( 是 指 计 
算 机 中 存放 的 数据 或 系统 本 身 )， 能 够 对 计算 机 系统 进行 各 种 破坏 ， 同 时 能 够 自我 复制 ， 具 有 
传染 性 。 


2.1.4 计算 机 病毒 的 分 类 


从 第 一 个 病毒 问世 以 来 ， 病 毒 的 种 类 多 得 已 经 让 人 们 难以 准确 统计 。 时 至 今日 ， 病 毒 的 
数量 仍 在 不 断 增 加 。 据 国外 统计 ， 计 算 机 病毒 数量 正在 以 10 种 每 周 的 速度 递增 ， 另 据 我 国 公 
安 部 统计 ， 国 内 以 4 一 6 种 每 月 的 速度 在 递增 。 

计算 机 病毒 的 分 类 方法 有 很 多 种 ， 对 于 同一 种 病毒 可 能 有 多 种 不 同 的 分 类 分 法 ， 主 要 有 
如 下 几 种 分 类 方法 。 


从 计算 机 病毒 使 用 的 传播 介质 来 分 类 ， 病 毒 可 分 为 单机 病毒 和 网 络 病毒 两 种 类 型 。 

口 单机 病毒 

单机 病毒 的 载体 是 磁盘 ， 一 般 情况 下 ， 病 毒 从 USB 盘 、 移 动 硬 盘 传 入 人 硬盘， 感染 系统 ， 
然后 再 传染 其 他 USB 盘 和 移动 硬盘 ， 接 着 传染 其 他 系统 ， 如 CIH 病毒 。 

口 网 络 病毒 

网 络 病毒 的 传播 介质 不 再 是 移动 式 存储 载体 ， 而 是 网 络 通道 ， 这 种 病毒 的 传染 能 力 更 强 ， 
破坏 力 更 大 ， 如 “ 尼 姆 达 ” 病 毒 。 

另外 ， 当 前 的 病毒 通常 是 以 网 络 传播 的 方式 感染 其 他 系统 。 病 毒 也 可 能 综合 了 其 他 病毒 
的 若干 特征 ， 这 样 的 病毒 称 为 混合 型 病毒 。 

混合 型 病毒 就 是 指 以 上 几 种 病毒 的 混合 。 混 合 型 病毒 是 为 了 综合 利用 以 上 几 种 病毒 的 传 
染 渠道 进 行 破坏 。 混 合 型 病毒 不 仅 传染 可 执行 文件 而 且 还 传染 硬盘 主 引导 扇 区 ， 被 这 种 病毒 
传染 的 计算 机 不 能 通过 使 用 FORMAT 命令 格式 化 硬盘 来 清除 。 


按照 病毒 对 计算 机 造成 破坏 的 性 质 进 行 划分 ， 可 以 将 病毒 分 为 如 下 两 种 类 型 。 

口 良性 病毒 

良性 病毒 是 指 不 包含 对 计算 机 系统 产生 直接 破坏 作用 的 代码 。 这 类 病毒 为 了 表现 其 存在 ， 
只 是 不 停 地 进行 扩散 ， 从 一 台 计 算 机 传染 到 另 一 台 ， 并 不 破坏 计算 机 内 的 数据 。 有 些 只 是 表 
现 为 恶作剧 。 这 类 病毒 取得 系统 控制 权 后 ， 会 导致 整个 系统 的 运行 效率 降低 ， 系 统 可 用 内 存 
总 数 减少 ， 使 某 些 应 用 程序 暂时 无 法 执行 。 

口 恶性 病毒 

恶性 病毒 又 称 逻 辑 炸 弹 或 定时 炸弹 ， 是 指 在 代码 中 包含 损伤 和 破坏 计算 机 系统 的 操作 ， 


在 其 传染 或 发 作 时 会 对 系统 产生 直接 的 破坏 作用 。 这 类 病毒 有 很 多 ， 如 米 开 朗 基 罗 病毒 。 当 
米 氏 病毒 发 作 时， 硬盘 的 前 17 个 扇 区 将 被 彻底 破坏 ， 使 整个 硬盘 上 的 数据 无 法 恢复 ， 造 成 的 
损失 是 无 法 挽回 的 。 有 的 病毒 甚至 还 会 对 硬盘 做 格式 化 等 破坏 操作 。 


根据 计算 机 病毒 的 链接 方式 ， 可 以 将 其 划分 为 如 下 几 种 不 同类 型 。 

口 源码 型 病毒 

这 种 病毒 主要 攻击 高 级 语言 编写 的 程序 ， 该 病毒 在 高 级 语言 所 编写 的 程序 编译 前 插入 到 
原 程 序 中 ， 经 编译 成 为 合法 程序 的 一 部 分 。 

口 嵌入 型 病毒 

这 种 病毒 是 将 自身 嵌入 到 现 有 程序 中 ， 把 病毒 的 主体 程序 与 其 攻击 的 对 象 以 插入 的 方式 
链接 。 

口 外 壳 型 病毒 

这 种 病毒 将 其 自身 包围 在 被 入 侵 的 程序 周围 ， 对 原来 的 程序 不 做 修改 。 这 种 病毒 最 为 常 
见 ， 易 于 编写 ， 也 易于 发 现 ， 一 般 测试 文件 的 大 小 即 可 查 出 。 

口 操作 系统 型 病毒 

这 种 病毒 用 它 自己 的 程序 代码 加 入 或 取代 部 分 操作 系统 代码 进行 工作 ， 具 有 很 强 的 破坏 
力 ， 可 以 使 整个 系统 瘫痪 。 圆 点 病毒 和 大 麻 病 毒 就 是 典型 的 操作 系统 型 病毒 。 


传染 性 是 计算 机 病毒 的 本 质 属性 ， 根 据 寄 生 部 位 或 传染 对 象 进行 划分 ， 也 就 是 根据 计算 
机 病毒 的 传染 方式 进行 划分 ， 包 括 如 下 几 种 类 型 。 

口 磁盘 引导 型 病毒 

引导 型 病毒 又 称 引导 扇 区 病毒 ， 驻 留 在 计算 机 硬盘 上 的 特定 区 域 ， 这 个 区 域 只 在 启动 时 
被 计算 机 读 取 、 执 行 。 

磁盘 引导 区 传染 的 病毒 主要 是 用 病毒 的 全 部 或 部 分 逻辑 取代 正常 的 引导 记录 ， 而 将 正常 
的 引导 记录 隐藏 在 磁盘 的 其 他 地 方 。 由 于 引导 区 是 磁盘 能 正常 使 用 的 先决 条 件 ， 因 此 ， 这 种 
病毒 在 运行 的 一 开始 〈 如 系统 启动 时 ) 就 能 获得 控制 权 ， 其 传染 性 较 大 。 由 于 在 磁盘 的 引导 
区 内 存储 着 需要 使 用 的 重要 信息 ， 因 此 ， 如 果 对 磁盘 上 被 移 走 的 正常 引导 记录 不 进行 保护 ， 
在 运行 过 程 中 就 会 导致 引导 记录 的 破坏 。 例 如 , “大麻 ”和 “小 球 ” 病 毒 就 属于 引导 区 传染 的 
计算 机 病毒 。 

口 操作 系统 型 病毒 

操作 系统 是 计算 机 应 用 程序 得 以 运行 的 支持 环境 ， 它 由 .sys、.exe 和 .dll 等 许多 可 执行 的 
程序 及 程序 模块 构成 。 操 作 系统 型 病毒 就 是 利用 操作 系统 中 的 一 些 程序 及 程序 模块 寄生 并 传 
染 。 通 常 ， 这 类 病毒 成 为 操作 系统 的 一 部 分 ， 只 要 计算 机 开始 工作 ， 病 毒 就 处 在 随时 被 触发 
的 状态 。 而 操作 系统 的 开放 性 和 不 完善 性 给 这 类 病毒 出 现 的 可 能 性 与 传染 性 提供 了 方便 。 例 
如 ,“ 黑 色 星 期 五 ”就 是 这 样 的 病毒 。 

口 感染 可 执行 程序 的 病毒 

通过 感染 可 执行 程序 进行 传染 的 病毒 通常 寄生 在 可 执行 程序 中 ， 一 旦 程序 被 执行 病毒 就 


会 被 激活 ， 病 毒 程序 首先 被 执行 ， 并 将 自身 驻 留 内 存 ， 然 后 设置 触发 条 件 进行 传染 。 

口 感染 带 有 宏 的 文档 

随 着 微软 公司 Office 软件 的 广泛 使 用 和 计算 机 网 络 尤其 是 Internet 的 推广 和 普及 , 病毒 家 
族 又 出 现 了 一 个 新 成 员 一 一 宏 病毒 。 宏 病毒 是 一 种 寄存 于 文档 或 模板 的 宏 中 的 计算 机 病毒 。 
一 旦 打开 这 样 的 文档 , 宏 病 毒 就 会 被 激活 并 转移 到 计算 机 上 , 且 驻 留 在 Normal 模板 中 。 此 后 ， 
所 有 自动 保存 的 文档 都 会 感染 上 这 种 宏 病毒 ， 而 且 ， 如 果 其 他 用 户 打开 了 已 感染 病毒 的 文档 ， 
宏 病毒 又 会 转移 到 该 用 户 的 计算 机 中 。 

在 该 分 类 方法 中 ， 除 磁盘 引导 型 病毒 外 ， 其 余 3 种 病毒 的 分 类 又 都 属于 文件 型 病毒 。 文 
件 型 病毒 又 叫 寄生 型 病毒 ， 这 类 病毒 把 自身 附着 在 可 执行 文件 上 ， 是 一 类 最 常见 ， 也 是 讨论 
得 最 多 的 病毒 。 这 样 的 病毒 通常 驻 留 在 内 存 里 ， 等 待 用 户 运行 其 他 程序 ， 把 这 当 作 触发 它 的 
事件 ， 触 发 后 感染 新 打开 的 程序 。 所 以 ， 它 们 的 复制 很 简单 ， 只 需要 通过 计算 机 的 正常 使 用 
就 可 进行 。 


5. 按照 病毒 特有 的 算法 进行 分 类 “| 


编制 者 在 制造 病毒 时 ， 用 到 的 算法 不 止 一 种 ， 因 此 根据 病毒 特有 的 算法 ， 可 以 将 其 划分 
为 如 下 几 种 类 型 。 

口 伴随 型 病毒 

该 类 型 病毒 并 不 改变 文件 本 身 ， 它 们 根据 自身 算法 产生 EXE 文件 的 伴随 体 ， 具 有 同样 的 
名 字 和 不 同 的 扩展 名 (COM)， 例 如 ，XCOPYEXE 的 伴随 体 是 XCOPY.COM。 病 毒 把 自身 写 
入 COM 文件 并 不 改变 EXE 文件 ， 当 DOS 加 载 文件 时 ， 伴 随 体 优 先 被 执行 到 ， 再 由 伴随 体 加 
载 执行 原来 的 EXE 文件 。 

口 “蠕虫 ”型 病毒 

该 类 型 病毒 通过 计算 机 网 络 进行 传播 ， 不 改变 文件 和 资料 信息 ， 利 用 网 络 从 一 台 计 算 机 
的 内 存 传播 到 其 他 计算 机 的 内 存 。 它 能 够 计算 网 络 地 址 ， 将 自身 的 病毒 通过 网 络 进行 传输 。 
有 时 它们 在 系统 中 存在 ， 但 一 般 除 了 内 存 不 占用 其 他 资源 。 

口 寄生 型 病毒 

在 该 分 类 方法 中 ， 除 了 伴随 和 “蠕虫 ”型 病毒 外 ， 其 他 病毒 均 可 称 为 寄生 型 病毒 ， 它 们 
依附 在 系统 的 引导 肩 区 或 文件 中 ， 通 过 系统 的 功能 进行 传播 。 

口 诡秘 型 病毒 

它们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ， 而 是 通过 设备 技术 和 文件 缓冲 区 等 DOS 内 
部 修改 ， 不 易 看 到 资源 ， 使 用 比较 高 级 的 技术 。 利 用 DOS 空闲 的 数据 区 进行 工作 。 

口 变型 病毒 〈 幽 灵 病毒 ) 

这 一 类 病毒 使 用 一 个 复杂 的 算法 ， 使 自己 每 传播 一 份 都 具有 不 同 的 内 容 和 长 度 。 它 们 一 
般 由 一 段 混 有 无 关 指 令 的 解码 算法 和 被 修改 过 的 病毒 体 组 成 。 


2.1.5 ”计算 机 病毒 的 命名 


反 病 毒 公司 为 了 方便 管理 ， 通 常会 按照 病毒 的 特性 ， 将 病毒 进行 分 类 命名 。 昌 然 ， 每 个 
反 病 毒 公司 的 命名 规则 各 不 相同 ， 但 大 体 上 都 是 采用 一 种 统一 的 命名 方法 来 命名 。 一 般 格式 
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为 : < 病毒 前 组 >.< 病 毒 名 >.< 病 毒 后 组 >。 在 该 格式 中 ， 对 于 各 部 分 有 如 下 解释 。 

口 病毒 前 级 

病毒 前 级 指 一 个 病毒 的 种 类 ， 用 来 区 别 病毒 的 种 族 分 类 。 不 同 种 类 的 病毒 ， 其 前 级 也 不 
同 。 例 如， 常见 的 木马 病毒 的 前 缀 是 Trojan， 蠕 虫 病毒 的 前 级 是 Worm， 黑 客 病毒 前 级 名 一 般 
为 Hack， 宏 病毒 的 前 级 是 Macro， 脚 本 病毒 的 前 级 是 Script， 系 统 病 毒 的 前 级 为 Win32、PE、 
Win95、W32、W95 等 ， 捆 绑 机 病毒 的 前 缀 是 Binder， 后 门 病毒 的 前 级 为 Backdoor 等 。 【39) 

口 病毒 名 

病毒 名 指 一 个 病毒 的 名 称 ， 用 来 区 别 和 标识 病毒 家 族 。 如 著名 的 CIH 病毒 的 家 族 名 都 是 
统一 的 CIH,“ 振 荡 波 ”蠕虫 病毒 的 家 族 名 是 Sasser。 

口 病毒 后 组 

病毒 后 级 指 一 个 病毒 的 变种 特征 ， 用 来 区 别 具 体 某 个 家 族 病毒 的 某 个 变种 。 一 般 采 用 英 
文中 的 26 个 字母 来 表示 ， 如 Worm.Sasser.B 就 是 指 振荡 波 蠕虫 病毒 的 变种 B， 因 此 一 般 称 为 
“振荡 波 B 变种 ”或 者 “振荡 波 变种 B”。 如 果 该 病毒 变种 非常 多 ， 可 以 采用 数字 与 字母 混合 
作为 变种 标识 。 


2.1.3 司 等 心 晶 一 一 计 流 沁 澳 如 的 区 询 


计算 机 病毒 可 能 是 用 不 同 的 编程 语言 所 编写 ， 也 可 能 运行 于 不 同 的 操作 系统 ， 但 其 逻辑 
结构 通常 是 不 变 的 ， 包 括 感染 模块 、 触 发 模块 、 破 坏 模 块 和 引导 模块 4 个 组 成 部 分 。 


人 个 感染 模块 ) 


感染 模块 是 病毒 的 传染 部 分 ， 是 病毒 程序 的 一 个 重要 组 成 部 分 ， 主 要 负责 病毒 的 传染 和 
扩散 。 但 是 ， 为 了 避免 病毒 重复 感染 一 个 文件 、 一 个 扇 区 ， 病 毒 要 在 病毒 数据 中 加 一 个 标志 ， 
如 CIH 病毒 的 感染 标志 是 加 了 “CIH” 字 符 串 。 对 于 以 独立 文件 方式 存在 的 病毒 ， 如 冲击 波 
病毒 ， 为 了 避免 多 个 病毒 进程 同时 运行 ， 使 用 函数 CreateMutex 建立 了 一 个 互 斥 变量 BILLY， 
病毒 启动 时 首先 检测 有 无 该 变量 存在 ， 存 在 则 说 明 病 毒 程序 已 经 运行 ， 这 样 就 保证 了 内 存 中 
只 有 一 份 病毒 文件 生成 的 进程 。 

病毒 的 传染 性 是 病毒 赖 以 生存 繁殖 的 条 件 ， 如 果 计算 机 病毒 没有 传播 渠道 ， 则 其 破坏 性 
小 ， 扩 散 面 窗 ， 难 以 造成 大 面积 流行 。 

病毒 传染 的 条 件 包括 静态 和 动态 两 种 。 其 中 ， 静 态 传染 是 指 被 动 传染 ， 如 用 户 在 进行 备 
份 磁盘 或 文件 时 ， 把 一 个 病毒 由 一 个 载体 复制 到 另 一 个 载体 上 ， 或 者 是 通过 网 络 上 的 信息 传 
递 ， 把 一 个 病毒 程序 从 一 方 传递 到 另 一 方 ; 动态 传染 是 指 主动 传染 ， 以 计算 机 系统 的 运行 及 
病毒 程序 处 于 激活 状态 为 先决 条 件 。 在 病毒 处 于 激活 的 状态 下 ， 只 要 传染 条 件 满 足 ， 病 毒 程 
序 就 能 够 主动 地 把 病毒 自身 传染 给 另 一 个 载体 或 男 一 个 系统 。 


@ 2. 触发 模块 站 


触发 模块 的 目的 是 调节 病毒 的 攻击 性 和 潜伏 性 之 间 的 平衡 。 因 为 ， 病 毒 大 范围 的 感染 、 
频繁 的 破坏 行为 可 能 给 用 户 以 重创 但是， 它们 总 是 使 系统 或 多 或 少 地 出 现 异常 ， 因 此 容易 
使 病毒 暴露 。 不 破坏 、 不 感染 又 会 使 得 病毒 失去 其 特性 ， 而 可 触发 性 是 病毒 的 攻击 性 和 潜伏 
性 之 间 的 调整 枉 杆 ， 可 以 控制 病毒 的 感染 和 破坏 的 频 度 ， 兼 顾 病毒 的 杀伤 力 和 潜伏 性 。 
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计算 机 病毒 在 传染 和 破坏 之 前 ， 往 往 要 判断 某 些 条 件 是 否 满足 ， 满 足 则 传染 或 者 发 作 ， 
否则 不 传染 或 不 发 作 或 只 传染 不 发 作 ， 这 个 条 件 就 是 计算 机 病毒 的 触发 条 件 。 该 条 件 是 预先 
病毒 编制 者 设置 的 ， 通 过 触发 模块 能 够 判断 触发 条 件 是 否 满足 ， 并 根据 判断 结果 来 控制 病 
毒 的 传染 和 破坏 动作 。 
病毒 采用 的 触发 条 件 花样 繁多 ， 从 中 可 以 看 出 病毒 作者 对 系统 的 了 解 程度 及 其 丰富 的 想 
象 力 和 创造 力 。 病 毒 采用 的 触发 条 件 主要 包括 如 下 几 种 。 
口 日 期 触发 ”许多 病毒 采用 日 期 来 做 触发 条 件 。 日 期 触发 包括 特定 日 期 触发 、 月份 触 发 、 
前 半年 或 后 半年 触发 等 。 
口 时 间 触 发 ”时 间 触 发 包括 特定 的 时 间 和 触发、 染 毒 后 累计 工作 时 间 和 触发、 文件 最 后 写 入 
时 间 触 发 等 。 
口 启动 触发 ”启动 触发 是 指 病毒 对 计算 机 的 启动 次 数 进行 计数 ,并 将 此 值 作为 触发 条 件 。 
口 键盘 触发 ”有些 病毒 监视 用 户 敲 打 键盘 的 动作 ， 当 发 现 病毒 预定 的 键入 时 ， 病 毒 被 激 
活 并 进行 某 些 特定 的 操作 。 键盘 触发 包括 击 键 次 数 触 发 、 组 合 键 触发 、 热 启动 触发 等 。 
口 感染 触发 ”感染 触发 以 运行 感染 文件 的 个 数 、 感 染 序数 、 感 染 磁盘 数 、 感 染 失败 等 为 
触发 条 件 。 
口 操作 系统 触发 ” 某 些 病毒 攻击 特定 的 操作 系统 ， 特 定 的 版 本 或 特定 的 语言 版 本 等 。 
口 访问 磁盘 次 数 触发 ”访问 磁盘 次 数 触发 是 指 病毒 对 磁盘 的 IO 访问 次 数 进行 计数 ， 以 
预定 的 次 数 作为 触发 条 件 。 
口 调用 中 断 功能 /API 函数 触发 ”病毒 对 中 断 调用 或 函数 调用 的 次 数 进行 计数 ,以 预定 的 
次 数 作 为 触发 条 件 。 
口 CPU 型 号 /主板 型 号 触发 ”病毒 能 识别 运行 操作 系统 环境 下 的 CPU 型 号 /主板 型 号 , 以 
指定 的 CPU 型 号 /主板 型 号 作为 触发 条 件 ， 这 种 病毒 的 触发 方式 奇特 军 见 。 


( 3. 破坏 模块 ] 


破坏 模块 是 病毒 程序 中 最 为 关键 的 部 分 ， 负 责 病毒 的 破坏 工作 ， 其 破坏 对 象 通常 包括 系 
统 数据 区 、 文 件 、 内 存 、 系 统 运行 速度 、 磁 盘 、CMOS、 主 板 和 网 络 等 。 


在 计算 机 领域 ，CMOS 通常 指 保存 计算 机 基本 局 动 信息 ( 如 日 期 、 时 间 、 启 
动 设置 等 ) 的 芯片 。 


[近代 基站 

病毒 程序 运行 时 ， 首 先 运行 的 是 病毒 的 引导 模块 ， 它 主要 负责 操作 系统 环境 检测 ， 感 染 
标志 检测 ， 分 配 内 存 ， 将 自己 读 到 内 存 ， 设 置 病毒 触发 条 件 ， 检 查 是 否 满足 触发 条 件 等 。 例 
如 ，CIH 病毒 首先 检测 系统 是 否 为 Windows 95/98， 否 则 病毒 程序 退出 。 

计算 机 病毒 实际 上 是 一 种 特殊 的 程序 ， 程 序 必然 要 存储 在 磁盘 上 ， 但 是 病毒 程序 为 了 进 
行 自身 的 主动 传播 ， 必 须 使 自身 寄生 在 可 以 获取 执行 权 的 对 象 上 。 

病毒 的 寄生 对 象 有 两 种 : 一 种 是 寄生 在 磁盘 引导 扇 区 ; 另 一 种 是 寄生 在 可 执行 文件 (.exe 
或 .com) 中 。 这 是 由 于 不 论 是 磁盘 引导 扇 区 还 是 可 执行 文件 ， 它 们 都 有 获取 执行 权 的 可 能 ， 
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这 样 病毒 程序 寄生 在 它们 上 面 ， 就 可 以 在 一 定 条 件 下 获得 执行 权 ， 从 而 使 病毒 得 以 进入 计算 
机 系统 ， 并 处 于 激活 状态 ， 然 后 进行 病毒 的 动态 传播 和 破坏 活动 。 


-com 文件 是 DOS 系统 下 一 种 最 简单 的 以 COM ( Copy Of Memory ) 结尾 的 可 
执行 文件 。COM 文件 最 大 为 64KB， 内 含 16 位 程序 的 二 进 制 代 码 映像 ， 没 有 
重 定位 信息 ， 也 就 是 说 为 了 运行 程序 能 够 准确 地 执行 处 理 器 指令 和 内 存 中 的 
数据 ，DOS 通过 直接 将 该 映像 从 文件 复制 到 内 存 以 加 载 COM 程序 ， 系 统 不 
需要 做 重 定位 工作 。 


计算 机 病毒 的 寄生 方式 有 两 种 : 一 种 是 采用 替代 法 ; 另 一 种 是 采用 链接 法 。 其 中 ， 蔡 代 
法 是 指 病毒 程序 用 自己 的 部 分 或 全 部 指令 代码 ， 蔡 代 磁 盘 引导 扇 区 或 文件 中 的 全 部 或 部 分 内 
容 ;， 链接 法 是 指 病毒 程序 将 自身 代码 作为 正常 程序 的 一 部 分 与 原 有 正常 程序 链接 在 一 起 ， 病 
毒 链接 的 位 置 可 能 在 正常 程序 的 首部 、 尾 部 或 中 间 。 寄 生 在 磁盘 引导 扇 区 的 病毒 一 般 采 取 蔡 
代 法 ， 而 寄生 在 可 执行 文件 中 的 病毒 一 般 采 用 链接 法 。 

通常 计算 机 病毒 的 引导 过 程 包括 以 下 3 个 方面 。 

口 驻 留 内 存 

病毒 若 要 发 挥 其 破坏 作用 ， 一 般 要 驻 留 内 存 。 为 此 就 必须 开辟 所 用 内 存 空间 或 覆盖 系统 
占用 的 部 分 内 存 空 间 。 但 是 ， 也 有 一 些 病毒 不 驻 留 内 存 ， 如 Taiwan (台湾 ) 病毒 (感染 COM、 
EXE 文件 ， 发 作 时 显示 图 像 或 动画 )。 

口 窃取 系统 控制 权 

在 病毒 程序 驻 留 内 存 后 ， 必 须 使 有 关 部 分 取代 或 扩充 系统 的 原 有 功能 ， 并 窃取 系统 的 控 
制 权 。 此 后 病毒 程序 依据 其 设计 思想 ， 隐 蔽 自己 ， 等 待 时 机 ， 在 条 件 成 熟 时 ， 再 进行 传染 和 
破坏 。 

口 恢复 系统 功能 

病毒 为 隐蔽 自己 ， 驻 留 内 存 后 还 要 恢复 系统 ， 使 系统 不 会 死机 ， 只 有 这 样 才能 等 待 时 机 
成 熟 后 ， 进 行 感 当 和 破坏 。 

另外 ， 某 些 病毒 在 加 载 之 前 进行 动态 反 跟 踪 和 病毒 体 解密 。 对 于 寄生 在 磁盘 引导 扇 区 的 
病毒 来 说 ， 病 毒 引导 程序 占据 原 系统 引导 程序 的 位 置 ， 并 把 原 系统 引导 程序 搬移 到 一 个 特定 
的 位 置 。 这 样 系 统一 启动 ， 病 毒 引导 模块 就 会 自动 地 装 入 内 存 并 获得 执行 权 ， 然 后 该 引导 程 
序 负 责 将 病毒 程序 的 传染 模块 和 破坏 模块 装 入 内 存 的 适当 位 置 ， 并 采取 常 驻 内 存 技 术 以 保证 
这 两 个 模块 不 会 被 覆盖 ， 接 着 对 该 两 个 模块 设 定 某 种 激活 方式 ， 使 之 在 适当 的 时 候 获 得 执行 
权 。 处 理 完 这 些 工作 后 ， 病 毒 引导 模块 将 系统 引导 模块 装 入 内 存 ， 使 系统 在 带 毒 状态 下 运行 。 

对 于 寄生 在 可 执行 文件 中 的 病毒 来 说 ， 病 毒 程序 一 般 通 过 修改 原 有 可 执行 文件 ， 使 该 文 
件 执行 首先 转 入 病毒 程序 引导 模块 ， 该 引导 模块 也 完成 把 病毒 程序 的 其 他 两 个 模块 驻 留 内 存 
及 初始 化 的 工作 ， 然 后 把 执行 权 交 给 执行 文件 ， 使 系统 及 执行 文件 在 带 毒 的 状态 下 运行 。 


2.2 ”计算 机 病毒 的 危害 


在 计算 机 病毒 出 现 的 初期 计算 机 病毒 的 危害 ， 往 往 注重 于 病毒 对 信息 系统 的 直接 破坏 


作用 ， 比 如 格式 化 硬盘 、 删 除 文件 数据 等 ， 并 以 此 来 区 分 恶性 病毒 和 良性 病毒 。 但 是 ， 这 些 
只 是 病毒 劣迹 的 一 部 分 ， 随 着 计算 机 应 用 的 发 展 ， 人 们 深刻 地 认识 到 凡是 病毒 都 可 能 对 计算 
机 信息 系统 造成 严重 的 破坏 。 


2.2.1 计算 机 病毒 的 表现 


计算 机 病毒 是 一 种 可 存储 的 、 可 执行 的 非法 程序 ， 其 最 终 目 的 是 破坏 计算 机 系统 的 正常 
运行 ， 待 时 机 成 熟 一 定 会 表现 它 的 存在 。 因 此 ， 计 算 机 在 受到 病毒 感染 后 ， 会 表现 出 不 同 的 
症状 。 下 面 将 一 些 经 常 碰 到 的 表现 症状 作 一 简单 介绍 ， 以 供用 户 参 考 判断 当 自 己 的 计算 机 出 
现 问 题 时 是 不 是 由 病毒 造成 的 。 


当 计 算 机 通电 后 ， 根 本 不 能 启动 ， 或 者 可 以 启动 ， 但 所 需要 的 时 间 比 原来 的 启动 时 间 变 
长 了 。 有 时 会 突然 出 现 黑屏 现象 。 


病毒 可 能 会 修改 进程 内 存 数据 、 插 入 进程 空间 、 引 起 某 些 进程 溢出 、 造 成 某 些 服务 程序 
骨 溃 等 。 病 毒 激活 后 ， 其 运行 将 占用 系统 时 间 ， 造 成 其 他 程序 运行 速度 变 慢 。 

另外 ， 如 果 发 现在 运行 某 个 程序 时 ， 读 取 数 据 的 时 间 比 原来 长 ， 存 储 文件 或 读 取 文 件 的 
时 间 都 明显 增加 ， 那 就 可 能 是 由 于 病毒 造成 的 。 


内 存 是 计算 机 的 重要 资源 ， 也 是 病毒 的 攻击 目标 。 病 毒 额外 地 占用 和 消耗 系统 的 内 存 资 
源 ， 使 内 存 空间 变 小 甚至 变 为 “0” 从 而 导致 其 他 程序 无 法 正常 使 用 内 存 。 


一 个 文件 存 入 磁盘 后 ， 本 来 它 的 长 度 和 内 容 都 不 会 改变 ， 但 是 由 于 病毒 的 干扰 ， 文 件 长 
度 可 能 改变 ， 文 件 也 可 能 出 现 乱码 。 有 时 文件 内 容 无 法 显示 或 显示 后 又 突然 消失 。 


在 计算 机 中 ， 正 常 的 操作 是 不 会 造成 死机 现象 的 ， 即 使 是 初学 者 ， 命 令 输入 不 对 也 不 会 
死机 。 如 果 机 器 经 常 死机 ， 那 可 能 是 系统 被 病毒 感染 了 。 


由 于 外 部 设备 受 系统 的 控制 ， 如 果 计 算 机 中 有 病毒 ， 外 部 设备 在 工作 时 可 能 会 出 现 一 些 
异常 情况 。 例 如 ， 干 扰 打 印 机 ， 使 之 产生 假 报警 、 间 断 性 打印 、 更 换 字符 等 。 

另外 ， 有 的 病毒 还 会 使 计算 机 的 喇叭 发 出 响声 。 有 的 病毒 设计 者 让 病毒 演奏 旋律 优美 的 
世界 名 曲 ， 在 高 雅 的 曲调 中 去 杀 有 残 人 们 的 信息 财富 ， 如 演奏 曲子 、 警 笛 声 、 炸 弹 噪声 、 鸣 叫 、 
味 味 声 、 暗 噶 声 等 。 


病毒 扰乱 屏幕 显示 的 方式 很 多 ， 如 字符 跌落 、 倒 置 、 显 示 前 一 屏 、 光 标 下 跌 、 滚 屏 、 抖 
动 、 乱 写 等 。 


2.2.2 计算 机 病毒 特征 


计算 机 病毒 是 人 为 编写 的 ， 具 有 自我 复制 能 力 ， 是 未 经 用 户 允 许 而 执行 的 代码 。 

一 般 正 常 的 程序 是 由 用 户 调用 ， 再 由 系统 分 配 资源 ， 完 成 用 户 交 给 的 任务 ， 其 目的 对 用 
户 是 可 见 的 、 透 明 的 。 而 计算 机 病毒 具有 正常 程序 的 一 切 特征 ， 它 隐藏 在 正常 程序 中 ， 当 用 
户 调用 正常 程序 时 ， 它 窍 取 到 系统 的 控制 权 ， 先 于 正常 程序 执行 ， 病 毒 的 动作 、 目 的 对 用 户 
是 未 知 的 和 未 经 用 户 允 许 的 。 通 常 ， 病 毒 包括 如 下 主要 特征 。 

口 传染 性 

一 般 情 况 下 ， 正 常 的 计算 机 程序 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 上 面 。 而 病毒 却 
能 够 使 自身 的 代码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 之 上 。 计 算 机 病毒 可 
以 通过 各 种 可 能 的 渠道 《如 软盘 、 光 盘 和 计算 机 网 络 ) 去 传染 其 他 计算 机 。 当 用 户 在 一 台 计 
算 机 上 发 现 了 病毒 时 ， 则 在 这 台 计 算 机 上 使 用 过 的 软盘 或 光盘 也 已 经 感染 上 了 病毒 ， 而 与 这 
台 计 算 机 联网 的 其 他 计算 机 或 许 也 被 该 病毒 感染 了 。 是 否 具 有 传染 性 是 判别 一 段 程序 是 否 为 
计算 机 病毒 的 最 重要 条 件 。 

口 隐蔽 性 

病毒 一 般 是 具有 很 高 编程 技巧 、 短 小 精 悍 的 一 段 程序 ， 通 常 潜入 在 正常 程序 或 磁盘 中 。 
病毒 程序 与 正常 程序 不 容易 被 区 别 开 来 ， 在 没有 防护 措施 的 情况 下 ， 计 算 机 病毒 程序 取得 系 
统 控制 权 后 ， 可 以 在 短 时 间 内 感染 大 量程 序 。 而 且 受 到 感染 后 ， 计 算 机 系统 通常 仍 能 正常 运 
行 ， 用 户 不 会 感到 有 任何 异常 。 试 想 ， 如 果 病 毒 在 传染 到 计算 机 上 之 后 ， 机 器 会 马上 无 法 正 
常 运行 ， 那 么 它 本 身 便 无 法 继续 进行 传染 了 。 

正 是 由 于 其 隐蔽 性 ， 计 算 机 病毒 得 以 在 用 户 没 有 察觉 的 情况 下 扩散 到 其 他 计算 机 中 。 大 
部 分 病毒 的 代码 之 所 以 设计 得 非常 短小 ， 是 为 了 隐藏 。 多 数 病毒 一 般 只 有 几 百 或 几 千 字 节 ， 
而 计算 机 对 文件 的 存 取 速 度 比 这 要 快 得 多 。 病 毒 将 这 短 短 的 几 百 字 节 加 入 到 正常 程序 之 中 ， 
使 人 们 不 易 察 觉 。 

口 潜伏 性 

大 部 分 病毒 在 感染 系统 之 后 不 会 马上 发 作 ， 它 可 以 长 时 间 隐 藏 在 系统 中 ， 只 有 在 满足 其 
特定 条 件 时 表现 (破坏 ) 模块 才 会 运行 。 只 有 这 样 才 可 以 进行 广泛 的 传播 。 如 “PETER-2” 在 
每 年 2 月 27 日 会 提出 3 个 问题 ,用 户 答 错 后 将 会 把 硬盘 加 密 。 著 名 的 “黑色 星期 五 ”在 每 逢 
13 号 的 星期 五 发 作 。 国 内 的 “上 海 一 号 ”会 在 每 年 3、6、9 月 的 13 日 发 作 。 当 然 ， 最 令 人 难 
忘 的 便 是 4 月 26 日 发 作 的 CIH 病毒 。 这 些 病毒 在 平时 会 隐藏 得 很 好 ， 只 有 在 发 作 日 才 会 露出 
本 来 面目 。 

口 破坏 性 

任何 病毒 只 要 侵入 系统 ， 都 会 对 系统 及 应 用 程序 产生 不 同 程度 的 影响 。 良 性 病毒 可 能 只 
显示 些 画 面 或 发 出 点 音乐 、 无 聊 的 语句 ， 或 者 根本 没有 任何 破坏 动作 ， 只 是 会 占用 系统 资源 。 
但 恶性 病毒 则 有 明确 的 目的 ， 或 破坏 数据 、 删 除 文件 或 加 密 磁 盘 、 格 式 化 磁盘 ， 有 的 甚至 对 
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数据 造成 不 可 挽回 的 破坏 。 

口 不 可 预见 性 

从 对 病毒 的 检测 方面 来 看 ， 病 毒 还 有 不 可 预见 性 。 不 同 种 类 的 病毒 ， 它 们 的 代码 千 差 万 
别 ， 但 有 些 操作 是 共有 的 ， 如 驻 留 内 存 等 。 有 些 人 利用 病毒 的 这 种 共性 ， 制 作 了 声称 可 以 查 
找 所 有 病毒 的 程序 。 这 种 程序 的 确 可 以 查 出 一 些 新 病毒 ， 但 由 于 目前 的 软件 种 类 极其 丰富 ， 
且 某 些 正常 程序 也 使 用 了 类 似 病毒 的 操作 甚至 借鉴 了 某 些 病毒 的 技术 。 使 用 这 种 方法 对 病毒 
进行 检测 势必 会 产生 许多 误 报 。 而 且 病毒 的 制作 技术 也 在 不 断 地 提高 ， 病 毒 对 反 病 毒 软件 永 
远 是 超前 的 。 


计 池 遍 洽 号 的 防范 举 广 


随 着 计算 机 及 计算 机 网 络 的 发 展 ， 计 算 机 病毒 传播 问题 越 来 越 引起 人 们 的 关注 。 随 着 
Internet 的 流行 ， 计 算 机 病毒 又 可 以 借助 网 络 迅速 传播 ， 如 “冲击 波 ”病毒 、 灰 鸽子 等 ， 给 广 
大 计算 机 用 户 带 来 了 极 大 的 损失 ， 因 此 ， 为 了 避免 或 减 小 病毒 所 造成 的 损失 ， 用 户 应 该 有 正 
确 的 计算 机 病毒 防范 措施 。 


三 1， 使 用 杀毒 软件 并 安装 系统 安全 漏洞 补丁 一 


用 户 应 养 成 及 时 下 载 最 新 系统 安全 漏洞 补丁 的 安全 习惯 ， 从 根源 上 杜绝 黑客 利用 系统 漏 
洞 攻 击 用 户 计算 机 的 病毒 。 同 时 ， 升 级 杀毒 软件 、 开 启 病毒 实时 监控 应 成 为 每 日 防范 病毒 的 
必修 课 。 


六 2， 重 要 资料 必须 备份 


资料 是 最 重要 的 ， 程 序 损坏 了 可 重新 下 载 安装 ， 甚 至 再 买 一 份 ， 但 是 自己 输入 的 资料 ， 
可 能 是 三 年 的 会 计 资 料 ， 可 能 是 画 了 三 个 月 的 图 片 ， 结 果 某 一 天 ， 硬 盘 坏 了 或 者 因为 病毒 的 
因素 而 丢失 或 破坏 ， 会 让 人 欲 哭 无 泪 ， 所 以 一 般 性 的 备份 是 绝对 必要 的 。 


站 3 网 页 挂 马 病毒 的 预防 措施 “ 


网 页 挂 马 指 的 是 黑客 自己 建立 带 毒 网 站 ， 或 者 攻击 流量 大 的 现 有 网 站 ， 在 其 中 植 入 木马 、 
病毒 ， 用 户 浏览 这 样 的 网 站 后 就 会 中 毒 。 由 于 通过 “网 页 挂 马 ” 可 以 快速 地 入 侵 大 量 计算 机 ， 
窃取 用 户 资料 ， 因 此 “ 挂 马 ” 成 为 利 欲 曲 心 的 入 侵 者 的 首选 入 侵 手 段 ， 防 范 网 页 挂 马 包括 如 
下 3 个 方面 内 容 。 

口 利用 Windows Update 功能 打 全 系统 补丁 ， 避 免 病 毒 以 网 页 挂 马 的 方式 入 侵 到 系统 中 。 

口 将 应 用 软件 升级 到 最 新 版 本 ， 其 中 包括 各 种 IM 即时 通信 工具 、 下 载 工 具 、 播 放 器 软 

件 、 搜 索 工具 条 等 ; 不 要 登录 来 历 不 明 的 网 站 ， 避 免 病毒 利用 其 他 应 用 软件 漏洞 进行 
木马 病毒 传播 。 

口 当 有 未 知 插件 提示 是 否 安装 时 ， 请 首先 确定 其 来 源 。 

(4 利用 U 盘 进 行 传播 的 病毒 的 预防 措施 


据 统计 ，2007 年 上 半年 ， 大 约 1/3 的 病毒 可 以 通过 U 盘 传播 。 在 Windows 系统 下 ， 当 TU 
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盘 、MP3、 移 动 宰 盘 等 移动 介质 插入 电脑 时 ， 系 统 会 自动 播放 光盘 上 的 电影 、 启 动 安装 程序 
等 ， 该 功能 给 普通 用 户 带 来 了 很 大 方便 ， 但 这 也 成 为 用 户 计算 机 安全 最 为 脆弱 的 地 方 ， 移 动 
介质 上 的 病毒 会 直接 进入 用 户 计算 机 ， 对 于 此 有 如 下 防范 措施 。 
口 在 使 用 移动 介质 ( 如 UU 盘 、 移 动 硬盘 等 ) 之 前 ， 建 议 先 对 其 进行 病毒 查 杀 ， 
口 尽量 加 免 在 无 防毒 软件 的 机 器 上， 使 用 可 移动 磁盘 、 
口 禁用 系统 的 自动 播放 功能 ,防止 病毒 从 U 盘 、 移 动 硬盘 、MP3 等 移动 存储 设备 进入 到 人 
计算 机 。 


通过 执行 【开始 】〗】|【 运 行 】〗】 命 令 ， 在 弹出 的 对 话 框 中 ， 输 入 gpedit.msc 命令 ， 
按 回 车 键 ， 在 打开 的 【本 地 组 策略 编辑 器 〗 窗 口中 ， 依 次 展开 【计算 机 配置 了 
|【 管 理 模板 】 节 点 ， 选 择 【 系 统 】〗】 选 项 ， 双 击 右 侧 窗 格 中 的 【关闭 自动 播放 】 
选项 ， 在 弹出 的 对 话 框 中 ， 选 中 【已 启用 】〗 单 选 按钮 ， 并 单 击 【 确 定 】 按 钮 ， 
即 可 禁用 Windows 系统 的 自动 播放 功能 。 


口 尽量 不 要 使 用 双击 打开 U 盘 ,而 是 右 击 口 盘 图 标 ,执行 【打开 】 命 令 来 打开 。 
fs: 网 上 银行 、 在 线 交 易 的 预防 措施 ) 


随 着 电子 商务 的 普及 、 股 市 的 火爆 ， 在 线 交 易 、 网 上 炒股 成 为 流行 ， 有 关 网 络 银行 和 股 
票 账 号 的 病毒 数量 一 直 呈 上 升 趋势 。 而 且 ，2007 年 上 半年 入 市 的 新 股民 中 ， 很 多 属于 中 老年 
用 户 ， 他 们 对 计算 机 和 网 络 缺 乏 基 本 的 安全 概念 ， 在 遭受 病毒 侵害 后 将 面临 更 大 的 安全 损失 。 
通常 ， 用 户 可 以 通过 如 下 措施 来 预防 在 线 交 易 、 网 上 炒股 时 遭 到 病毒 破坏 。 
口 在 登录 电子 银行 实施 网 上 查询 交易 时 ， 尽 量 选择 安全 性 相对 较 高 的 USB 证 书 认证 方 
式 。 不 要 在 公共 场所 ( 如 网 吧 ) 登录 网 上 银行 等 一 些 金融 机 构 的 网 站 ， 防 止 重要 信息 
被 盗 。 
口 网 上 购物 时 也 要 选择 注册 时 间 相 对 较 长 、 信 用 度 较 高 的 店铺 。 
口 不 要 随便 点 击 不 安全 陌生 网 站 ， 如 果 遇 到 银行 系统 升级 要 求 更 改 用 户 密 码 或 输入 用 户 
密码 等 要 求 ， 一 定 要 提前 确认 。 如 果 用 户 不 幸 感染 了 病毒 ， 除 了 用 相应 的 措施 查 杀 病 
毒 外 ， 也 要 及 时 和 银行 联系 ， 冻 结账 户 ， 并 向 公安 机 关 报案 ， 把 损失 减少 到 最 低 。 
口 在 登录 一 些 金融 机 构 ， 如 银行 、 证 券 类 的 网 站 时 ， 应 直接 输入 其 域名 ， 不 要 通过 其 他 
网 站 提供 的 链接 进入 ， 因 为 这 些 链接 可 能 将 导入 虚假 的 银行 网 站 。 


2.3 常见 的 计算 机 病毒 类 型 


病毒 的 制造 者 不 断 地 尝试 新 的 方法 来 感染 计算 机 系统 。 但 是 病毒 的 实际 类 型 还 是 只 有 很 
少 的 几 种 。 常 见 的 计算 机 病毒 包括 文件 型 病毒 、 引 导 型 病毒 、 宏 病毒 、 电 子 邮件 病毒 和 混合 
型 病毒 等 。 


2.3.1 文件 型 病毒 


文件 型 病毒 〈File Infector Virus) 通常 寄生 在 可 执行 文件 〈 如 *.com、*.exe 等 ) 中 ， 当 这 
些 文件 被 执行 时 ， 病 毒 程序 就 会 紧 接着 被 执行 。 文 件 型 病毒 根据 传染 方式 的 不 同 ， 又 包括 非 
常 驻 型 和 常 驻 型 两 种 。 

口 非常 驻 型 病毒 

非常 驻 型 病毒 (Non-memory Resident Virus ) 将 自己 寄生 在 *.com、*.exe 或 者 *.sys 文件 中 。 
当 这 些 中 毒 的 程序 被 执行 时 ， 就 会 尝试 传染 给 另 一 个 或 多 个 文件 。 

口 常 驻 型 病毒 

常 驻 型 病毒 (Memory Resident Virus) 驻 留 在 内 存 当 中 ， 其 行为 就 好 像 是 寄生 在 各 类 的 低 
阶 功能 一 般 〈 如 中 断 )， 由 于 这 个 原因 ， 常 驻 型 病毒 往往 对 磁盘 造成 更 大 的 伤害 。 一 旦 常 驻 型 
病毒 进入 了 内 存 中 ， 只 要 存在 可 执行 文件 被 执行 ， 它 就 会 对 其 进行 感染 ， 其 效果 非常 显著 。 
将 它 赶 出 内 存 的 唯一 方式 就 是 冷 开 机 《完全 关 掉 电源 之 后 再 开机 ) 

病毒 感染 COM 文件 有 两 种 方法 , 一 种 是 将 病毒 加 在 文件 前 部 , 一 种 是 将 病毒 加 在 文件 尾 


部 ， 如 图 2-1 所 示 。 i 
EXE 文件 较为 复杂 ,每 个 EXE 文件 都 有 一 个 文件 头 ， 病毒 
当 DOS 加 载 EXE 文件 时 , 根据 文件 头 信息 , 病毒 一 般 会 
将 自己 加 在 文件 尾部 ， 并 修改 文件 头 信息 ， 使 开始 执行 源 文件 
地 址 指向 病毒 起 始 地 址 ， 并 修改 文件 长 度 信息 。 源 文件 
而 Windows 系统 下 的 EXE 文件 与 DOS 下 的 有 所 不 [病毒 | 
同 , 它 除了 具有 MS-DOS 的 EXE 文件 头 之 外 还 包括 一 个 2 
Windows 的 EXE 文件 头 ， 但 它们 的 原理 是 一 样 的 。 图 2-1 可 执行 文件 病毒 


2.3.2 引导 型 病毒 


引导 型 病毒 利用 引导 扇 区 藏身 ， 利 用 IOS 中 断 执行 破坏 操作 ， 利 用 BIOS 数据 区 来 使 病 
毒 代码 常 驻 内 存 。 

引导 型 病毒 是 在 系统 启动 时 ， 先 于 正常 系统 的 引导 将 其 自身 装 入 到 系统 中 ， 这 是 因为 这 
类 病毒 侵占 了 系统 磁盘 的 主 引导 区 或 者 DOS 分 区 的 引导 扇 区 ， 而 系统 在 启动 时 只 是 机 械 地 将 
这 些 扇 区 中 的 内 容 读 入 到 内 存 中 ， 这 样 病毒 就 可 以 获得 对 系统 的 控制 权 。 病 毒 程序 一 般 安装 
在 内 存 的 高 端 ， 为 了 保护 病毒 程序 使 用 的 这 一 部 分 内 存 区 域 不 再 被 系统 分 配 ， 一 般 病 毒 会 将 
系统 内 存 总 量 减少 若干 玉 字 节 。 而 正常 的 系统 引导 过 程 一 般 是 不 减少 系统 内 存 。 

病毒 程序 在 完成 自身 的 安装 后 ， 再 将 系统 的 控制 权 交 给 真正 的 系统 程序 ， 完 成 系统 的 引 
导 ， 但 此 时 系统 已 经 处 于 病毒 程序 的 控制 之 下 。 

引导 型 病毒 在 进行 自身 的 安装 时 ， 为 了 实现 向 外 传播 和 破坏 的 作用 ， 一 般 都 要 修改 系统 
的 某 些 中 断 向 量 ， 主 要 是 INT13H 中 断 向 量 ， 使 之 指向 病毒 程序 的 相应 部 分 ， 在 系统 运行 时 ， 
只 要 使 用 到 这 些 中 断 向 量 ， 或 者 满足 病毒 程序 设 定 的 某 些 特定 条 件 ， 病 毒 程序 就 会 向 外 传播 ， 
或 者 对 系统 或 数据 进行 破坏 。 


中 断 是 指 系统 、 处 理 器 或 当前 执行 程序 (或 任务 ) 的 某 处 出 现 一 个 事件 ， 该 
事件 需要 处 理 器 进行 处 理 。 通 常 ， 这 种 事件 会 导致 执行 控制 被 强迫 从 当前 运 
行程 序 转移 到 称 为 中 断 处 理 程序 的 特殊 软件 函数 或 任务 中 。 为 了 有 助 于 处 理 
中 断 ， 每 个 需要 被 处 理 器 进行 特殊 处 理 的 处 理 器 定义 的 中 断 条 件 都 被 赋予 了 
一 个 标识 号 ， 称 为 向 量 (Vector )。 处 理 器 把 赋予 中 断 的 向 量 用 作 中 断 描 述 符 
表 IDT (Interrupt Descriptor Table ) 中 的 一 个 索引 号 ， 来 定位 一 个 中 断 的 处 理 
程序 入 口 点 位 置 。 


系统 引导 型 病毒 的 传染 对 象 主要 是 硬盘 的 主 引导 扇 区 及 硬盘 的 DOS 分 区 的 引导 扇 区 。 这 
类 病毒 是 由 含有 病毒 的 系统 感染 在 该 系统 中 进行 读 写 操作 的 移动 磁盘 ， 然 后 ， 再 由 这 些 移动 
磁盘 以 复制 的 方式 (被 动 传染 ) 和 引导 进入 到 其 他 计算 机 系统 的 方式 (动态 传染 ) 去 感染 其 
他 计算 机 的 硬盘 和 计算 机 系统 。 如 此 循环 下 去 ， 就 使 该 病毒 迅速 传播 。 

引导 型 病毒 只 能 感染 可 执行 代码 ， 在 计算 机 中 ， 可 执行 代码 只 有 引导 程序 和 可 执行 文件 ， 
如 果 要 了 解 引导 型 病毒 的 原理 ， 首 先 就 需要 了 解 引 导 区 的 结构 。 通 常 ， 移 动 磁盘 〈 如 优盘 ) 
只 有 一 个 引导 区 ， 称 为 “DOS BOOT SECTER ”， 只 要 格式 化 优盘 ， 该 引导 区 就 已 存在 。 硬 盘 
包括 两 个 引导 区 , 在 0 面 0 道 1 扇 区 的 称 为 主 引导 区 ， 内 有 主 引导 程序 和 分 区 表 ， 主 引导 程 
序 查 找 激活 分 区 ， 该 分 区 的 第 一 个 扇 区 即 为 DOS BOOT SECTER。 绝 大 多 数 病毒 都 是 感染 硬 
盘 的 主 引导 分 区 。 

引导 型 病毒 按 其 寄生 对 象 的 不 同 又 可 分 为 两 类 ， 即 覆盖 型 〈 嵌 入 型 ) 病毒 和 转移 型 〈 保 
留 型 ) 病毒 。 

口 覆盖 型 

该 类 型 病毒 在 传染 磁盘 引导 区 时 直接 用 自身 代码 覆盖 原 引 导 记 录 ， 但 并 不 触动 分 区 表 及 
检验 标志 55SAA《〈 十 六 进 制 ， 主 引导 扇 区 的 最 后 两 个 字 节 )， 且 不 保留 备份 ， 启 动 时 由 自身 代 
码 完成 对 系统 的 引导 。 

用 户 可 以 通过 使 用 NU DiskEdit 等 工具 来 查看 主 引导 记录 映像 表 ， 在 IBE、ICE、IDE 和 
IEE 四 人 处， 如果 发 现 其 中 一 项 为 80， 其 他 项 为 00， 那 么 可 以 认为 存在 覆盖 型 病毒 ; 在 000、 
001、002 处 为 FA 33 C0， 在 080、081 处 或 IFE、IFF 处 是 55 AA， 在 082 一 0DE 之 间 是 规则 
的 英文 信息 ， 在 170 一 1BD 之 间 全 是 0， 如 果 在 这 5 处 中 有 3 处 符合 ， 则 认为 是 覆盖 型 病毒 。 


主 引 导 记 录 包 括 代码 (如 IBE、ICE 等 )、 数据 (如 00、80 等 ) 两 部 分 ， 用 于 
检测 硬盘 分 区 的 正确 性 并 确定 活动 分 区 ， 负 责 把 引导 权 移交 给 操作 系统 ， 如 
果 此 段 记 录 损 坏 将 无 法 从 硬盘 引导 。 所 以 硬盘 的 主 引导 区 常常 成 为 病毒 攻击 
的 对 象 。 


口 转移 型 

该 类 型 病毒 在 传染 磁盘 引导 区 之 前 保留 了 原 引导 记录 ， 并 转移 到 磁盘 其 他 扇 区 ， 以 备 将 
来 病毒 初始 化 模块 完成 后 仍 由 原 引 导 记 录 完 成 对 系统 的 正常 引导 。 如 果 根 据 履 盖 型 病毒 的 判 
定 方法 中 的 内 容 不 能 判定 为 覆盖 型 病毒 ， 那 么 可 认为 该 病毒 是 转移 型 病毒 。 


引导 型 病毒 隐蔽 性 强 ， 兼 容 性 强 ， 不 容易 被 用 户 发 现 ， 通 常用 于 DOS、Windows 操作 系 
统 ， 图 2-2 为 转移 型 病毒 原理 示意 图 。 


BIOS 读 取 硬 盘 主 引 导 区 到 内 存 
07C00 处 


BIOS 自 检 ， 将 常规 内 存 大 小 存 入 0413; 该 单元 大 小 减 1KB| 
或 NKB 后 ， 系 统 将 不 再 访问 最 高 的 IKB 内 存 


将 0413 单 元 的 值 减 小 IKB 
(或 NKB 


计算 机 可 用 内 存 高 段 地 址 并 将 病毒 转移 
到 高 段 继续 执行 


修改 后 的 INT13H 


修改 INT13H 地 址 指向 病毒 传染 段 ， 将 
原 有 地 址 保存 在 其 他 某 一 单元 


病毒 任务 完成 ， 将 原 有 引导 区 调 入 
0700C 执 行 


计算 机 正常 引导 行 


图 2-2 转移 型 病毒 原理 示意 图 


如 果 用 带 毒 的 可 移动 磁盘 启动 计算 机 ， 那 么 病毒 首先 感染 硬盘 ， 然 后 执行 上 述 启动 过 程 。 
无 论 是 最 古老 还 是 最 新 的 转移 型 病毒 都 遵循 上 述 原理 ， 只 不 过 在 实现 时 ， 技 巧 可 能 不 相同 。 


2.3.3 ” 宏 病 毒 


宏 就 是 软件 设计 者 为 了 在 使 用 软件 工作 时 ， 避 免 一 再 地 重复 相同 的 动作 而 设计 出 来 的 一 
种 工具 。 它 利用 简单 的 语法 ， 把 常用 的 操作 写成 宏 ， 当 再 工作 时 ， 就 可 以 直接 利用 事先 写 好 
的 宏 自 动 运行 ， 去 完成 某 项 特定 的 任务 ， 而 不 必 重 复 相 同 的 操作 。 

在 Word 中 对 宏 定 义 为 : 宏 就 是 能 组 织 到 一 起 作为 独立 的 命令 使 用 的 一 系列 Word 命令 ， 
它 能 使 日 常 工 作 变 得 更 容易 。Word 宏 是 使 用 Word Basic 语言 来 编写 的 。 

每 个 Word 宏 都 有 其 触发 条 件 ， 可 以 将 宏 与 工具 条 按钮 、 菜 单项 或 者 热 键 联系 起 来 。 但 按 
住 该 按钮 、 选 择 该 菜单 项 或 者 按 住 该 热 键 时 ， 这 个 宏 就 会 被 执行 。 

凡是 具有 写 宏 能 力 的 软件 都 有 宏 病毒 (Macro Virus) 存在 的 可 能 , 如 Word、 Excel、 AmiPro 
等 都 存在 宏 病 毒 。 例 如 ， 台 湾 一 号 (Taiwan NO.1) 就 是 Word 宏 病 毒 。 

如 果 编 写 一 个 宏 并 将 其 命名 为 AutoNew。 那 么 当 用 户 每 次 打开 一 个 新 文件 时 该 宏 都 将 被 
调用 。 对 于 一 个 新 建立 的 宏 ， 在 退出 Word 时 都 会 询问 是 否 保存 的 提示 ， 如 果 选 择 是 ， 那 么 该 
宏 就 会 被 保存 在 公用 模板 文件 Normal.dotm 中 , 以 后 用 户 每 次 打开 Word 时 都 可 以 调用 这 个 宏 。 
另外 ，Word 允许 每 个 文档 本 身 包 含 私 用 宏 ， 这 些 宏 只 能 够 在 该 文档 打开 时 使 用 ， 关 闭 后 不 能 
使 用 。 


由 于 Word 本 身 所 附带 的 Word Basic 富 含 丰富 的 函数 , 熟练 地 使 用 Word 宏 可 以 大 大 提高 
用 户 的 工作 效率 ， 达 到 事半功倍 的 效果 。 但 是 ， 它 也 为 病毒 的 产生 提供 了 条 件 。 

Word 宏 病毒 就 是 利用 Word 包含 的 宏 功 能 作为 撰写 病毒 的 工具 。 公 用 模板 文件 
Normal.dotm 为 宏 病 毒 的 侵入 开启 了 一 扇 大 门 。 当 宏 病 毒 感染 公用 模板 文件 后 ,一 旦 用 户 打开 
Word,， 那么 这 个 受 感染 的 公用 模块 文件 即 被 载 入 ， 病 毒 便 会 传播 到 随后 所 编辑 的 doc 文件 中 。 

被 感染 的 Word 文件 中 通常 包含 有 Auto Open、Auto Close 和 Auto New3 个 宏 。 当 用 户 使 
用 正常 的 Word 软件 打开 被 感染 的 doc 文件 后 ， 该 文件 中 的 Auto Open 宏 被 自动 执行 ， 然 后 ， 
通过 Auto Close 和 Auto new 这 两 个 宏 也 将 会 被 复制 到 公用 模块 文件 Normal.dotm 中 ， 从 而 使 
正常 的 Word 也 感染 病毒 。 

虽然 不 是 所 有 包含 宏 的 文档 都 包含 宏 病 毒 ， 但 当 有 如 下 情形 之 一 发 生 时 ， 用 户 就 可 以 检 
测 出 Microsoft Office 文档 或 Microsoft Office 系统 中 存在 宏 病 毒 。 

口 在 打开 “ 宏 病 毒 防护 功能 ”的 情况 下 

当 用 户 打 开 一 个 自己 编写 的 文档 时 ， 系 统 会 弹出 相应 的 警告 框 。 而 用 户 清楚 自己 并 没有 
在 其 中 使 用 宏 或 并 不 知道 宏 到 底 怎么 用 ， 此 时 就 可 以 判断 出 该 文档 已 经 感染 宏 病 毒 。 

另外 ， 用 户 在 打开 Microsoft Office 系列 文档 时 都 看 到 宏 警 告 信息 。 由 于 在 一 般 情况 下 很 
少 使 用 到 宏 ， 所 以 当 看 到 成 串 的 文档 有 宏 警 告 时 ， 可 以 判断 出 这 些 文档 中 有 宏 病 毒 。 

口 如 果 软 件 中 关于 宏 病 毒 防护 选项 启用 后 但 不 能 在 下 次 开机 时 保存 

在 Microsoft Office Word 97 中 提供 了 对 宏 病 毒 的 防护 功能 ， 它 可 以 在 【工具 】|【 选 项 】| 
【常规 】 中 进行 设 定 。 但 有 些 宏 病 毒 为 了 对 付 宏 警告 功能 ， 当 它 在 感染 系统 〈 这 通常 只 有 在 用 
户 关闭 了 宏 病 毒 防护 选项 或 者 出 现 宏 警 告 后 选取 了 “启用 宏 ” 才 有 可 能 ) 后 ,会 在 退出 Microsoft 
Office 文档 时 自动 屏蔽 掉 宏 病毒 防护 选项 。 因此 用 户 一 旦 发 现 计 算 机 中 所 设置 的 宏 病毒 防护 功 
能 选项 无 法 在 两 次 启动 Word 之 间 保 持 有 效 ， 那 么 说 明 计算 机 系统 已 经 感染 了 宏 病毒 。 也 就 是 
说 一 系列 Word 模板 ， 特 别 是 Normal.dotm 已 经 被 感染 。 

当 用 户 发 现 计 算 机 存在 宏 病 毒 后 , 根据 宏 病 毒 的 
传播 原理 ， 就 可 以 很 轻松 地 清除 它 。 消 除 宏 病 毒 只 需 
用 户 在 Normal.dotm 和 doc 文件 中 删除 构成 病毒 的 宏 
即 可 。 在 Word 文档 中 ， 执 行 【 开 发 工具 】|【 宏 】 命 
令 ， 在 打开 的 【 宏 】 对 话 框 中 的 【 宏 的 位 置 】 下 拉 列 
表 框 中 选择 Normal.dotm 选项 或 者 其 他 有 毒 的 Word 
文档 , 然后 ,再 选择 需要 删除 宏 的 名 称 , 单 击 【 删 除 】 
按钮 即 可 ， 如 图 2-3 所 示 。 


2.3.4 ”蠕虫 病毒 图 2-3 清除 宏 病毒 


蠕虫 (Worm) 病毒 是 一 种 通过 网 络 进行 传播 的 恶意 病毒 ， 它 的 出 现 相对 于 木马 病毒 、 宏 
病毒 来 说 比较 晚 ， 但 是 无 论 从 传播 速度 、 传 播 范围 还 是 从 破坏 程度 上 来 讲 ， 里 虫 病毒 都 是 以 
往 的 传统 病毒 所 无 法 比拟 的 。 

蠕虫 病毒 可 以 说 是 近年 来 发 作 最 为 猩 独 、 影 响 最 为 广泛 的 一 类 计算 机 病毒 ， 它 的 传播 主 
要 体现 在 以 下 两 个 方面 。 


口 系统 漏洞 

利用 微软 的 系统 漏洞 攻击 计算 机 网 络 ， 网 络 中 的 客户 端 感染 这 一 类 病毒 后 ， 会 自动 拨号 
上 网 ， 并 利用 文件 中 的 地 址 或 者 网 络 共享 传播 ， 从 而 导致 网 络 服务 遭 到 拒绝 并 发 生死 锁 ， 最 
终 破坏 用 户 的 大 部 分 重要 数据 。“ 红 色 代码 ”、“ 尼 姆 达 ”、“SQL 蠕虫 王 ” 等 病毒 都 是 属于 这 一 
类 病毒 。 

口 电子 邮件 

利用 E-mail 迅速 传播 ， 如 “ 爱 虫 病毒 ”和 “求职 者 病毒 ”。 蠕 虫 病毒 会 盗 取 被 感染 计算 机 
中 邮件 的 地 址 信息 ， 并 且 利 用 这 些 邮 件 地 址 复制 自身 病毒 体 以 达到 大 量 传 播 、 对 计算 机 造成 
严重 破坏 的 目的 。 蠕 虫 病毒 甚至 可 以 导致 整个 互联 网 的 瘫痪 。 


一 1 二 由 病 毒 的 析 成 


蠕虫 (Worm) 病毒 通常 由 主 程序 和 引导 程序 两 部 分 组 成 。 其 中 ， 主 程序 的 主要 功能 是 搜 
索 和 扫描 ， 这 个 程序 能 够 读 取 系统 的 公共 配置 文件 ， 获 得 与 本 机 联网 的 客户 端 信息 ， 检 测 到 
网 络 中 的 哪 台 计算 机 没有 被 占用 ， 从 而 通过 系统 的 漏洞 ， 将 引导 程序 建立 到 远程 计算 机 上 ; 
引导 程序 实际 上 是 蠕虫 病毒 主 程序 〈 或 一 个 程序 段 ) 自身 的 一 个 副本 ， 而 主 程序 和 引导 程序 
都 有 自动 重新 定位 (Auto relocation) 的 能 力 。 即 这 些 程序 或 程序 段 都 能 够 把 自身 的 副本 重新 
定位 在 另 一 台 机 器 上 , 如 图 2-4 所 示 。 这 就 是 蠕虫 病毒 能 够 大 面积 暴发 并 且 带 来 严重 后 果 的 主 
要 原因 。 


O1 .… O4 
图 2-4 主 程序 和 引导 程序 将 其 副本 定位 在 另 一 台 计算 机 上 示意 图 


口 利用 操作 系统 和 应 用 程序 的 漏洞 主动 进行 攻击 
此 类 病毒 主要 包括 “红色 代码 ”和 “ 尼 姆 达 ” 以 及 至 今 依然 肆虐 的 “求职 者 ”等 。 由 于 


下 浏览 器 的 漏洞 ， 使 得 感染 了 “ 尼 姆 达 ” 病 毒 的 邮件 在 不 通过 手工 打开 附件 的 情况 下 就 能 激 
活 病毒 ， 而 此 前 很 多 防 病毒 专家 还 一 直 认 为 :“ 只 要 不 打开 带 有 病毒 的 邮件 的 附件 ， 病 毒 就 不 
会 造成 危害 “红色 代码 ”是 利用 了 微软 IS 服务 器 软件 的 漏洞 (idq.dll 远程 缓存 区 溢出 ) 来 
传播 的 。“Sql 蠕虫 王 ” 病 毒 则 是 利用 了 微软 数据 库 系 统 的 一 个 漏洞 进行 攻击 的 。 

口 传播 方式 多 样 化 

例如 ,“ 尼 姆 达 ” 病 毒 和 “求职 者 ”病毒 可 利用 的 传播 途径 包括 文件 、 电 子 邮 件 、Web 服 
务 器 及 网 络 共享 等 。 

口 病毒 制作 技术 与 传统 病毒 不 同 

许多 新 病毒 是 利用 当前 最 新 的 编程 语言 与 编程 技术 实现 的 ， 易 于 修改 ， 从 而 可 以 产生 新 
的 变种 ， 因 此 可 以 逃避 反 病 毒 软件 的 搜索 。 另 外 ， 新 病毒 利用 Java、ActiveX、VB Script 等 技 
术 ， 可 以 潜伏 在 HTML 页 面 里 ， 在 用 户 浏览 网 页 时 被 触发 。 

口 与 黑客 技术 相 结 合 

与 黑客 技术 相 结合 后 潜在 的 威胁 和 损失 更 大 。 以 “红色 代码 ”为 例 ， 感 染 后 的 计算 机 在 
Web 目录 的 \scripts 下 将 生成 一 个 root.exe 应 用 程序 ， 通 过 该 程序 可 以 使 黑客 远程 执行 任何 命 
令 ， 达 到 再 次 进入 的 目的 。 


3. 蠕虫 病毒 发 作 现 象 及 防范 


蠕虫 病毒 进入 系统 并 且 成 功 运行 后 ， 会 搜索 当前 系统 中 Outlook 通信 短 中 存储 的 邮件 地 
址 , 每 当 搜 索 到 一 个 邮件 地 址 时 就 会 自动 生成 
一 个 邮件 ， 然 后 将 病毒 文件 作为 邮件 的 附件 ， 
并 且 将 附件 的 名 称 更 改 为 一 个 比较 具有 诱惑 
力 的 名 字 ( 如 “你 的 银行 密码 ” “美女 图 片 ” 
等 ) 以 吸引 邮件 接收 者 打开 附件 。 

一 般 病 毒 生 成 的 邮件 都 会 带 有 “自动 启动 
漏洞 功能， 即 当 用 户 打开 邮件 的 时 候 其 附件 
就 会 自动 启动 ， 这 个 过 程 非常 快 ， 一 般 不 会 被 
用 户 发 现 。 这 种 具有 漏洞 的 邮件 用 文本 编辑 器 
打开 后 会 发 现 漏洞 代码 ， 如 图 2-5 所 示 。 带 有 “上 
这 种 代码 的 邮件 一 般 都 比较 可 疑 。 而且 打开 这 i 
种 邮件 后 ， 根 本 看 不 到 已 经 运行 的 病毒 附件 ， 和 ee ee 
只 能 看 到 一 些 病毒 生成 的 用 于 迷惑 人 的 信息 。 图 2-5 漏洞 代码 

蠕虫 病毒 的 出 现 可 以 说 是 网 络 管理 员 的 一 个 乙 梦 。 面 对 快速 复制 和 疯狂 传播 的 病毒 ， 除 
了 使 用 网 络 版 杀毒 软件 进行 全 网 监控 和 全 网 查 杀 之 外 ， 还 有 几 点 需要 客户 端 使 用 者 与 管理 员 
互相 配合 ， 共 同 防范 。 

口 购买 主流 的 网 络 安全 产品 ， 并 注意 及 时 更 新 。 

口 不 随意 查看 陌生 邮件 ， 尤 其 是 带 有 附件 的 邮件 。 

口 定期 检查 计算 机 内 是 否 具有 可 写 权限 的 共享 文件 夹 ， 一 旦 发 现 ， 要 及 时 关闭 该 权限 。 

口 定期 检查 计算 机 中 的 账户 ， 查 看 是 否 存在 不 明 账户 。 一 旦 发 现 应 立即 删除 该 账户 ， 并 
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且 要 禁用 Guest 账号 ， 以 防止 被 病毒 利用 。 
口 用 户 在 网 络 中 共享 的 文件 夹 一 定 要 将 访问 权限 设置 为 只 读 ， 而 且 最 好 给 共享 文件 夹 设 
置 一 个 访问 账号 和 密码 。 这 样 病毒 在 传播 的 过 程 中 会 因为 权限 不 够 而 造成 复制 失败 。 
口 给 计算 机 中 的 账户 设置 比较 复杂 的 密码 ， 以 防止 被 病毒 破译 。 如 果 在 自己 的 共享 文件 
夹 内 发 现 了 不 明文 件 ， 最 好 将 其 删除 ， 千 万 不 要 尝试 打开 甚至 启动 运行 。 


网 络 工具 列表 “常见 的 杀毒 软件 ) 


Q 1. 瑞星 软件 应 用 有 


北京 瑞星 科技 股份 有 限 公司 ， 简 称 瑞星 软件 公司 ， 成 立 于 1998 年 4 月 ， 其 前 身 为 1991 
年 成 立 的 北京 瑞星 电脑 科技 开发 部 ， 是 中 国 最 早 从 事 计算 机 病毒 防治 与 研究 的 大 型 专业 企业 。 
它 以 研究 、 开 发 、 生 产 及 销售 计算 机 反 病 毒 产 品 、 网 络 安全 产品 和 反 “ 黑 客 ” 防 治 产品 为 主 ， 
拥有 全 部 自主 知识 产权 和 多 项 专利 技术 。 

早期 , 瑞星 软件 公司 产品 为 瑞星 防 病毒 卡 , 这 是 一 块 ISA 界面 的 硬件 产品 , 通过 截取 DOS 
系统 中 断 来 保护 计算 机 磁盘 数据 ， 这 是 一 种 在 1990 年 代 初期 较为 流行 的 防 病毒 手段 ， 当 时 瑞 
星 公 司 的 产品 占据 了 中 国防 病毒 卡 市 场 的 一 半 以 上 。 

随 着 计算 机 硬件 技术 、 网 络 技术 的 不 断 发 展 ， 瑞 星 软件 公司 为 满足 广大 用 户 的 需求 ， 所 
生产 的 产品 应 用 于 不 同 领域 、 不 同 用 户 。 目 前 ， 瑞 星 杀毒 软件 系列 包括 网 络 版 和 单机 版 ， 提 
供 杀毒 软件 、 个 人 防火 墙 、 在 线 杀 毒 等 功能 ， 且 提供 简体 中 文 、 繁 体 中 文 、 英 文 、 日 文 等 多 
种 语言 版 本 。 另 外 ， 瑞 星 软件 公司 同时 还 提供 企业 网 络 监控 软件 ， 并 且 与 硬件 厂商 合作 推出 
硬件 病毒 防火 墙 产 品 。 因 此 ， 瑞 星 软件 


= 


公司 提供 的 软件 应 用 十 分 广泛 ， 适 合 大 苇 an 
部 分 用 户 使 用 。 re 三 

下 面 以 瑞星 个 人 防火 墙 为 例 来 简单 : 
介绍 。 瑞 星 个 人 防火 墙 (Rising Personal 一 一 人 | 人 
Firewall〉 是 一 款 防火 墙 软件 。 其 主要 应 sw 一 接收 和 怖 关 
用 就 是 能 够 针对 目前 流行 的 黑客 攻击 、 一 一 wr 902 
钓鱼 网 站 等 做 出 针对 性 的 优化 ， 采 用 未 | @ Ser, wee 
知 木 马 识别 、 家 长 保护 、 反 网 络 钓鱼 技 | sss :02s Soe, 


术 来 保护 用 户 的 计算 机 系统 不 受 侵害 。 Ee 
目前 ， 最 新 的 瑞星 防火 墙 版 本 为 2 
2010 版 ， 用 户 可 以 下 载 或 购买 瑞星 个 人 
防火 墙 并 安装 ， 然 后 ， 启 动 并 打开 【 瑞 图 2-6 【瑞星 个 人 防火 墙 】 主 界面 
星 个 人 防火 墙 】 主 界面 ， 如 图 2-6 所 示 。 
在 【瑞星 个 人 防火 墙 】 主 界面 左 侧 窗 格 中 ， 用 户 可 以 根据 实际 网 络 环 境 来 定义 安全 级 别 
(如 高 、 中 和 低 )、 工 作 模式 (常规 模式 、 交 易 模式 和 静默 模式 )， 在 右 侧 窗 格 中 ， 用 户 可 以 查 
看 到 当前 上 网 流量 图 以 及 当前 活动 的 程序 。 


软件 默认 工作 在 常规 模式 ， 如 果 用 户 需 要 进行 网 上 交易 ， 那 么 可 以 使 用 交易 
模式 ， 以 确保 个 人 账户 的 安全 。 当 用 户 选择 静默 模式 时 ， 软 件 会 自动 处 理发 
现 的 病毒 和 恶意 程序 。 


选择 【系统 信息 】 选 项 卡 ， 用 户 可 以 查看 到 当前 正在 运行 的 程序 ， 切 换 到 【进程 信息 】 
选项 卡 下 ， 用 户 可 以 很 容易 地 查看 到 当前 运行 的 进程 是 否 安全 ， 如 图 2-7 所 示 。 
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图 2-7 查看 进程 信息 


选择 【网 络 安全 】 选 项 卡 ， 用 户 可 以 查看 到 防火 墙 对 当前 网 络 的 监控 列表 ， 通 常 ， 未 开 
启 ARP 欺骗 防御 ， 如 果 用 户 上 网 环境 处 于 局 域 网 当中 ,那么 建议 用 户 启用 APR 欺骗 防御 。 如 
要 启用 ARP 欺骗 防御 ， 只 需 用 户 选择 【ARP 欺骗 防御 】 选 项 ， 并 单 击 【 开 启 】 按 钮 即 可 ， 如 
图 2-8 所 示 。 


于 现 量 个 人 防火 二 


TREE 


工作 估 老 


属 应 用 各 订 网 阁 访 局 此 定 
有 眠 二 包 寺 渗 长 者 : 。 开启 
国 风 攻 击 拦 二 六 考 : 。 开局 


局 本 部 Rti 枯 大 老 : 。 开 昌 
AP 了 3 防 刘 [E | 共 坟 :关闭 
是 了 中 | AEP 天 入 攻击 。 
ae | 
时 山居 光 二 防 并 发 者: 


图 2-8 开启 ARP 欺骗 防御 
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ARP 地 址 解析 协议 是 一 种 常用 的 网 络 协议 ,每 台 安装 有 TCP/IP 协议 的 计算 机 
中 都 有 一 个 ARP 缓存 表 ， 表 中 的 卫 地 址 与 MAC 地 址 一 一 对 应 ， 如 果 这 个 表 
被 修改 , 则 会 出 现 网 络 无 法 连通 , 或 者 访问 的 网 页 被 动 持 . 黑客 就 会 利用 ARP 
协议 存在 的 缺陷 ， 入 侵 某 台 计算 机 之 后 发 送 ARP 欺骗 数据 包 ， 造 成 局 域 网 内 
所 有 用 户 在 访问 网 络 时 ， 都 会 收 到 这 样 的 数据 包 。 


另外 ， 如 果 用 户 不 希望 某 一 程序 访问 网 络 还 可 以 通过 访问 控制 来 实现 。 在 【访问 控制 】 
选项 卡 中 右 击 需要 阻止 的 程序 名 称 ， 并 执行 【拒绝 】 命 令 即 可 ， 如 图 2-9 所 示 。 
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图 2-9 设置 访问 控制 


@ 2. 诺顿 软件 应 用 中 


赛 门 铁 克 (Symantec) 公司 总 部 位 于 美国 加 州 ， 成 立 于 1982 年 4 月 ， 原 为 编程 语言 公司 。 
但 在 1990 年 ， 该 公司 收购 彼得 。 诺 顿 (Peter Norton Computing) 软件 公司 ， 才 正式 跨 入 杀毒 
软件 市 场 ， 而 诺顿 (Norton) 是 该 公司 推出 的 个 人 信息 安全 产品 之 一 。 

诺顿 杀毒 软件 应 用 于 广大 用 户 、 小 型 单位 或 公司 以 及 大 型 企业 ， 能 够 确保 网 络 安全 及 解 
决 安全 问题 ， 保 护 广大 消费 者 的 计算 机 免 于 病毒 爆发 或 恶意 程序 攻击 。 

诺顿 杀毒 软件 发 展 至 今 ， 除 了 原 有 的 防毒 功能 外 ， 还 有 防 间谍 等 网 络 安全 风险 的 功能 。 
目前 ， 诺 顿 反 病毒 产品 包括 诺顿 网 络 安全 特警 (Norton Internet Security)、 诺顿 防 病毒 (Norton 
Antivirus)、 诺 顿 360 等 产品 。 

目前 ， 诺 顿 反 病毒 软件 的 最 新 版 本 包括 诺顿 网 络 安全 特警 2010、 诺 顿 防 病毒 软件 2010、 
诺顿 360 4.0 版 本 和 诺顿 360 Network 版 。 它 们 都 能 应 用 于 计算 机 或 网 络 核心 防护 、 高 级 防护 
和 身份 防护 。 

口 核心 防护 ”通过 核心 防护 ， 可 以 有 效 阻止 病毒 、 间 谍 软 件 、 特 洛 伊 木马 、 蠕 虫 病毒 等 

的 侵害 。 诺 顿 软件 为 给 系统 提供 最 新 的 防护 会 每 隔 5~15 分 钟 执行 一 次 更 新 。 
口 高 级 防护 ”使 用 专业 级 反 垃圾 邮件 技术 过 滤 不 受 欢 迎 的 电子 邮件 ， 防 止 利 用 软件 漏洞 
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计算 机 病毒 


发 起 的 网 络 工具 及 阻止 传统 防 病毒 软件 不 能 识别 的 威胁 。 另 外 ， 它 还 提供 家 长 控制 功 
能 ， 能 够 确保 孩子 上 网 安全 ( 仅 适 用 于 Microsoft Windows )。 


与 其 他 软件 相 比 ， 诺 顿 防 病 毒 软件 功能 较 少 ， 如 该 软件 的 高 级 防护 功能 ， 
包括 能 够 防止 利用 软件 漏洞 发 起 的 网 络 攻击 和 阻止 传统 防 病 毒 技 术 所 不 能 识 
别 的 威胁 。 (ss) 


口 身份 防护 ”通过 身份 防护 能 够 存储 和 管理 个 人 登录 信息 的 安全 ， 识 别 不 安全 的 网 站 ， 

防止 黑客 窃取 用 户 个 人 信息 。 

除 此 之 外 ， 诺 顿 软 件 还 具有 许多 实际 应 用 ， 例 如 ， 诺 顿 网 络 安全 特警 2010 和 诺顿 防 病毒 
软件 2010 还 提供 计算 机 优化 功能 (如 通过 磁盘 清理 以 优化 计算 机 性 能 、 对 计算 机 近期 整体 行 
为 做 出 明确 分 析 以 防止 性 能 下 降 等 )， 诺 顿 360 4.0 版 本 能 够 将 用 户 重要 文件 自动 保存 在 本 地 
或 保存 至 安全 的 其 他 存储 位 置 以 及 能 够 还 原 丢 失 的 文件 和 文件 夹 。 


@ 3. 卡巴 斯 基 ]) 

卡巴 斯 基 实 验 室 总 部 位 于 莫斯科 ， 主 要 为 个 人 用 户 、 企 业 网 络 提供 反 病 毒 、 防 黑客 和 反 
垃圾 邮件 产品 ， 现 已 成 为 市 场 领先 的 信息 安全 解决 方案 提供 商 。 

卡巴 斯 基 实验 室 是 第 一 个 开发 出 诸多 反 病 毒 行业 技术 标准 的 公司 ， 这 些 标准 包括 针对 
Linux、UNIX 和 NetWare 的 全 面 解决 方案 、 能 够 用 于 检测 新 出 现 病毒 的 新 一 代 启 发 式 分 析 程 
序 、 防 止 多 态 性 病毒 和 宏 病毒 的 有 效 保护 技术 、 持 续 更 新 反 病 毒 数据 库 技 术 ， 以 及 检测 档案 
文件 病毒 技术 。 

目前 ， 卡 巴 斯 基 反 病 毒 安全 软件 2010 和 卡巴 斯 基 全 功能 安全 软件 2010 都 是 该 公司 的 新 
产品 。 其 中 ， 卡 巴 斯 基 全 功能 安全 软件 2010 包含 卡巴 斯 基 反 病毒 软件 2010 的 所 有 功能 和 技 
术 。 在 该 产品 中 集合 了 基于 主机 的 入 侵 防御 系统 (HIPS) 技术 以 及 先进 的 应 用 程序 活动 控制 
技术 ， 可 以 对 新 出 现 或 者 未 知 的 程序 划分 安全 等 级 ， 能 够 为 个 人 计算 机 用 户 提供 抵御 各 类 互 
联网 威胁 的 全 面 保护 。 

另外 ， 该 产品 首次 运用 安全 免疫 区 技术 ， 利 “| 天 2 于。 wae RD 人 
用 虚拟 化 技术 提供 一 个 安全 、 独 立 的 应 用 程序 执 “| 号 立志 轩 全 2 加 


行 环境 ， 当 该 软件 安装 完成 后 ， 在 【我 的 电脑 】 SP mm 
窗口 中 将 会 查看 到 该 文件 夹 ， 如 图 2-10 所 示 。 Be i 
卡巴 斯 基 全 功能 安全 软件 2010 还 为 用 户 提 , ee 
供 了 卡巴 斯 基 安 全 网 络 ， 一 种 创新 的 分 布 式 恶意 Bp 
软件 控制 系统 。 该 软件 可 以 让 用 户 拥有 一 段 时 间 3 
的 试用 期 ， 用 户 可 以 从 其 官网 进行 下 载 或 者 试用 Py 
结束 后 再 购买 该 软件 进行 安装 ， 安 装 完成 后 启动 上 ** 


并 进入 该 软件 主 界面 ， 根 据 提示 更 新 病毒 库 即 
可 ,图 2-11 为 该 软件 主 界面 ， 默 认 显示 【保护 中 
心 】 页 面 ， 在 该 页 面 中 用 户 可 以 查看 到 文件 和 数 a 
据 、 系 统 及 网 络 在 线 是 否 安全 。 同 样 在 安全 中 心 
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中 用 户 也 可 以 查看 到 计算 机 的 安全 信息 。 


隔 卡巴 斯 基 全 功能 安全 软件 2010 
加 后 要 区 ul 报告 


Kaspersky 
Internet Security 2010 


震 助 | 覆 的 卡巴 鞭 基 帐号 | 技术 去 持 | 大权 许可 : 出 全 31 天 


图 2-11 【卡巴 斯 基 全 功能 安全 软件 2010】 主 界面 


除了 病毒 防护 之 外 ， 该 软件 还 为 用 户 提供 了 一 些 实用 工具 以 帮助 用 户 更 好 地 使 用 计算 机 。 

如 要 使 用 这 项 功能 ， 只 需 选择 【工具 中 心 】 选 项 卡 ， 在 【工具 中 心 】 页 面 可 以 看 到 它 所 提供 
的 全 部 安全 工具 ， 如 图 2-12 所 示 。 
隐 卡巴 斯 基 全 功能 安全 软件 2010 


Kaspersky 


Internet Security 2010 


工具 中 心 
洒 。 提 洪 更 乡 安全 工具 


要 助 | 我 的 卡巴 斯 基 紫 号 | 技术 专攻 | 近 反 全 可 : 副 作 30 天 
2-12 工具 中 心 


用 户 可 以 根据 自己 的 选择 使 用 工具 中 心中 所 提供 的 工具 ， 也 可 以 定期 使 用 其 中 的 一 些 工 
具 来 提高 计算 机 性 能 。 例 如 ， 选 择 【 其 他 工具 】 列 表 内 的 【活动 痕迹 清理 】 选 项 ， 在 弹出 的 
对 话 框 中 直接 单 击 【 下 一 步 】 按 钮 软件 会 自动 搜索 用 户 痕迹 ， 当 搜索 完成 后 ， 在 【搜索 活动 
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计算 机 病毒 


痕迹 已 完成 】 窗 口中 ， 可 以 查看 到 当前 软件 所 检测 到 的 用 户 活 动 痕迹 ， 此 时 ， 单 击 【下 一 步 】 
按钮 即 可 ， 如 图 2-13 所 示 。 

最 后 ， 在 【清除 用 户 活动 痕迹 完成 】 窗 口中 ， 根 据 需要 还 可 以 启用 【每 次 退出 卡巴 斯 基 
全 功能 安全 软件 时 都 清除 活动 痕迹 】 复 选 框 ， 并 单 击 【 完 成 】 按 钮 ， 如 图 2-14 所 示 。 


隐 隐私 清 理 向 导 加 EE 凤 隐 孜 私 清理 向 导 


坑 过 活动 窟 迹 已 完成 诗 险 用户 活动 病 迹 完成 
已 检 训 开 用 户 活动 靖 迹 。 向 导 完成 。 


已 完成 隐私 演 班 向 对 ， 如果 炮 有 问题 请 访 问 我 们 的 官方 论坛 或 联 系 技 相 支持 。 
加 坏 K 退 出 卡巴 斯 基 全 功能 安全 软件 时 和 清除 活动 靖 迹 


国 其 它 染 作 

日 建议 风 作 
回 遇 除 Miaosof Wndows 有 志文 件 
回 册 除 内存 转 鱼 文 件 

可 强烈 建议 摊 作 
加 湖 呈 六 帝 吕 历史 记录 


图 2-13 活动 痕迹 清理 图 2-14 清理 痕迹 完 


另外 ， 卡 巴 斯 基 实验 室 为 每 一 位 用 户 提供 有 效 对 抗 病毒 、 垃 圾 邮件 以 及 黑客 攻击 的 安全 
解决 方案 。 随 着 恶意 软件 程序 变 得 日 益 复杂 ， 功 能 也 日 趋 增多 ， 公 司 提供 全 方位 的 系列 产品 ， 
以 保护 个 人 计算 机 用 户 和 企业 网 络 免 受 这 些 问 题 的 困扰 。 例 如 ， 卡 巴 斯 基 反 垃 圾 邮件 旨 在 保 
护 使 用 公司 邮件 系统 的 用 户 和 互联 网 提供 商 免 受 垃圾 邮件 的 困扰 。 


2.4 操作 实例 


2.4.] 揭 入 袍 侣 


同 克 疹 宣 绚 防 范 


用 户 在 上 网 浏览 网 页 的 过 程 中 ， 病 毒 可 能 已 经 进驻 到 计算 机 中 ， 它 们 会 使 下 不 停 地 弹出 
窗口 、 修 改正 主页 ， 甚 至 对 系统 性 能 造成 非常 大 的 影响 ， 而 通过 使 用 一 些 软件 可 以 很 好 地 预 
防 这 些 网 页 病毒 ， 给 用 户 一 个 每 适 的 上 网 环境 。 下 面 以 超级 兔子 为 例 进行 介绍 。 


@ 1. 实例 目的 有 
口 修复 正 浏 览 器 。 
口 实现 广告 拦截 。 
口 保证 浏览 网 页 安全 。 


@ 2. 实例 步骤 1) 


(1) 在 桌面 双击 【超级 兔子 】 应 用 程序 图 标 ， 如 图 2-15 所 示 。 
(2) 在 该 软件 主 窗口 中 ， 单 击 【 锡 子 工 具 】 按 钮 ， 如 图 2-16 所 示 。 
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息 起 瑟 先 子 2010- 0118 


5 加 


天 六 保护 。 兔子 工兵“ 其 首 各 埋 


gy RHE EE 10:41:36 pr 


图 2-15 执行 应 用 程序 图 2-16 系统 管理 界面 


(3) 在 【兔子 工具 】 界 面 中 ， 单 击 【守护 天 使 】 图 标 ， 如 图 2-17 所 示 。 
(4) 在 【守护 天 使 】 对 话 框 的 【选择 修复 项 目 】 选 项 卡 中 ， 启 用 【下 浏览 器 的 标题 与 首 
页 】 复 选 框 ， 然 后 单 击 【 修 复 】 按 钮 ， 如 图 2-18 所 示 。 


局 i 二 次 多 


IE 作 复 部 合 设 罗 关于 


课件 天 便 和食 驱动 天 使 


查看 硬件 ， 唱 试 电脑 违 度 最 方便 安装 鲁 件 弛 动 DE ME Re 整个 》 
De Ee 
三 口 正 让 
| im J 六 件 安全 助 王 DE Ma se 
汪 队 和 时 垃 江 ,全 上 了 件 ld raensms 了 


口 自动 时 自动 强 出 的 网 页 


内 存 估 理 守护 天 从 了 mt Reoedit exe 
提 内 页 衬 的 多 理 内 存 型 修复 全 ， 检 币 危 院 程序 i 3 


| 


图 2-17 兔子 工具 界面 图 2-18 正 浏 览 器 修复 界面 


(5) 在 【已 修复 项 目 】 选 项 卡 中 可 查看 到 详细 信息 ， 然 后 单 击 【 综 合 设置 】 按 钮 ， 如 图 
2-19 所 示 。 


之 拓 修复 项 目 。 已 由 复 项 上 


下 襄 和 可 的 标题 与 页 (Www haokan123com) 
已 修复 2 个 项 


图 2-19 已 修复 项 目 界面 


© 下 修复 是 指 为 恢复 被 纂 改 的 已 设 定 的 电脑 浏览 器 主页 而 通过 菜 一 款 软 件 进行 
的 操作 . 


(6) 在 【综合 设置 】 界 面 的 【广告 拦截 设置 】 栏 中 ， 启 用 【拦截 浮动 广告 【拦截 弹出 


窗口 】 复 选 框 ， 如 图 2-20 所 示 。 


kd 
寻 合 设置 
回 共 夷 汝 出 军品 


口 共 动画 广 半 
口 失 和 DE 吉 要 自 定义 三 告 图 片 


图 2-20 综合 设置 界面 


广告 拦截 设置 能 成 功 拦截 各 种 弹出 广告 ， 浮 动 图 片 ， 以 及 各 种 Flash 插件 ， 保 


证 用 户 顺 畅 地 浏览 网 页 。 


ARP 木马 又 称 地 址 欺骗 病毒 ， 它 使 终端 发 送 或 接收 虚假 的 MAC 地 址 与 瑟 地 址 对 应 关系 
来 取代 正确 的 对 应 关系 ， 造 成 局 域 网 不 能 正常 通信 。 下 面 介绍 清除 它 的 方法 。 


口 清除 ARP 缓存 。 
口 设置 四 地址 与 MAC 地 址 绑 定 。 
口 查找 注册 表 。 


(1) 执行 【开始 】| 【运行 】 命 令 ， 在 弹出 的 【运行 】 对 话 框 中 ， 输 入 cmd 命令 ， 并 单 击 
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【确定 】 按 钮 ， 如 图 2-21 所 示 。 
(2) 在 弹出 的 命令 提示 符 窗口 中 , 输入 amp -a 命令 , 可 查看 当前 本 机 存储 在 本 地 系统 ARP 
缓存 表 中 的 卫 和 MAC 地 址 的 对 应 关系 信息 ， 如 图 2-22 所 示 。 


NVINDOWS\ayrt om32 


licrosoft Windows XP U 本 习 
《了 所 有 195-2bal mierezsis Corp. 
:pocunencs and Settings\Adninistratoryarp -a 

,0.3 


Es) Cz te i 


打开 Q): ont 中 


图 2-21 【运行 】 对 话 框 图 2-22 查看 ARP 缓存 表 


(3) 在 命令 提示 符 窗 口中 ， 输 入 arp -d 命令 后 ， 再 次 输入 arp -a 命令 ， 可 查看 到 ARP 绥 
存 表 将 被 清空 ， 如 图 2-23 所 示 。 


清除 ARP 缓 存 表 可 以 解决 某 些 因 ARP 欺 骗 工具 攻击 而 导致 局 域 网 内 计算 机 不 
能 互相 访问 和 上 网 的 问题 ， 清 除 之 后 ， 本 机 将 重新 从 网 络 中 获得 正确 的 ARP 
信息 ， 达 到 计算 机 之 间 互 相 访 问 与 上 网 的 目的 。 


(4) 在 命令 提示 符 窗口 中 ， 输 入 arp -s 192.168.0.3 00-E0-4C-A9-12-18 命令 ， 并 按 回 车 键 。 
然后 ， 再 输入 arp -a 命令 ， 可 查看 ARP 缓存 表 地 址 对 应 关系 ， 如 图 2-24 所 示 。 


C:\WINDOYS' 


XP | 5.1.268 
Kc> 版 权 所 有 1985-28@1 Microsoft Corp- 


:Decunente and Sottingo Widninistratoryarp -d 


:Docunents and Settings dministrator>arp -a 
ARP Entries Found 


2 


A a a |C: Docunents and Settings\AdninistratorYary -s 192.168.0.3 


80-E9-4C-A9-12-18 


inistratoryarp -i |c: Docunents and Settings\Adninistrator Yarp -a 


tratoryarp -a 


Internet Address Phys: Sa fadres Type 
192.168 .9.3 Be8-4c-a9-12-18 stetic 
:pocunents and Settings dninistrator> 
过 | 
| | Dl | 划 2 


图 2-23 清除 ARP 缓存 表 图 2-24 IP 地 址 与 MAC 地 址 绑 定 


将 MAC 地 址 与 他 地 址 绑 定 ， 可 以 解决 局 域 网 内 ARP 病毒 的 攻击 ， 但 在 计算 
机 重新 启动 时 ， 系 统 将 自动 清除 ARP 缓存 信息 ， 为 此 需要 重新 添加 。 


(5) 执行 【开始 】| 【记事 本 】 命 令 ， 在 弹出 的 记事 本 窗口 中 ， 输 入 批 处 理 命令 ， 并 保存 
文件 名 为 “mac ip.bat”， 如 图 2-25 所 示 。 

(6) 执行 【开始 】| 【程序 】| 【启动 】 命 令 ， 在 弹出 的 【启动 】 窗 口中 ,将 mac ip.bat 文 
件 复制 到 该 路 径 下 ， 如 图 2-26 所 示 。 


文件 四 编 状 包 ) 亚 看 四 收 送 由 工具 四 帮助 o 
四 与- 四- Pr BD | 


玉生 加 加 wents wa 5etuinesWWniai sur wor\ [ 开 她 ] 菜 革 程序 \B 动 | 


[LETT 
Qecho ofF 


arp 
arp -5 192.168 -9.3 90-Eg-4C-A9-12-18 


图 2-25 编写 批 处 理 内 容 图 2-26 添加 开机 启动 程序 


mac ip.bat 批 处 理 文件 ,可 以 解决 计算 机 每 次 启动 都 要 绑 定 卫 地 址 与 MAC 地 
址 的 重复 操作 。 


(7) 执行 【开始 】 代 和 运行】 命令 ， 在 弹出 的 对 话 框 中 ， 输 入 regedit 命令 ， 并 单 击 【 确 定 】 
按钮 ， 如 图 2-27 所 示 。 
(8) 在 弹出 的 【注册 表 编 辑 器 】 窗 口中 ， 执 行 【 编 辑 】| 【查找 】 命 令 ， 如 图 2-28 所 示 。 


& 注册 雪 编 竹器 司 目 器 | 


7 法人 人 


打开 外: regedit 


CE 


图 2-27 打开 注册 表 图 2-28 ”开始 查找 


(9) 在 弹出 的 【查找 】 对 话 框 中 ， 输 入 npfsys， 如 图 2-29 所 示 。 然 后 ， 删 除 带 有 npf 的 
文件 即 可 。 


图 2-29 查找 npf 文 件 
(10) 最 后 ， 为 了 以 防 万 一 ， 再 使 用 杀毒 软件 检测 一 遍 。 


网 络 攻击 与 防范 
ee 


计算 机 系统 或 信息 会 由 于 多 种 方式 而 发 生 不 利 的 事情 。 这 些 不 利 的 事情 通常 是 人 们 有 意 
(恶意 的 ) 进行 的 ， 也 有 是 偶然 导致 的 。 但 无 论 是 什么 原因 ， 最 后 都 会 造成 一 定 的 损失 ， 因 此 
无 论 这 些 事情 是 否 出 于 恶意 都 称 为 “攻击 ”。 

黑客 是 指 那些 试图 入 侵 计 算 机 系统 或 使 这 些 系统 不 可 用 的 人 。 黑 客 及 其 工作 方式 是 关于 
安全 性 的 最 重要 的 部 分 。 因 此 ， 对 网 络 与 计算 机 安全 的 研究 不 能 仅 局 限于 防范 ， 还 要 从 非法 
获取 目标 计算 机 的 系统 信息 、 非 法 挖掘 系统 弱点 等 技术 进行 研究 。 对 症 下 药 ， 只 有 充分 了 解 
攻击 者 〈 黑 客 ) 的 手段 ， 才 能 够 更 好 地 采取 措施 来 保护 网 络 和 计算 机 系统 的 正常 运行 。 

本 章 从 黑客 的 认识 、 常 见 的 网 络 攻 击 及 木马 的 攻击 防护 技术 等 方面 来 学 习 网 络 攻击 与 
防范 。 


了 解 黑 客 的 由 来 及 黑客 的 行为 发 展 趋势 
熟悉 攻击 的 分 类 及 黑客 的 攻击 目的 

> 熟悉 留 后 门 与 清 痕迹 的 防范 方法 

> 熟悉 木马 的 攻击 与 防护 技术 


3.1 黑客 概述 


在 许多 人 了 眼 中,“ 黑客 ”是 这 样 一 些 高 深 葛 测 的 神秘 人 物 ， 他 们 利用 手中 所 掌握 的 技术 万 
意 攻击 网 络 、 盗 取 商 业 机 密 。 加 上 一 些 媒体 对 黑客 和 黑客 事件 不 负责 任 地 夸大 报道 ， 使 得 黑 
客 以 及 黑客 技术 对 大 多 数 普 通 人 而 言 更 多 了 一 层 神秘 面纱 。 其 实 ， 黑 客 以 及 黑客 技术 并 不 神 
秘 ， 也 不 高 深 。 一 个 普通 的 用 户 在 具备 了 一 定 的 基础 知识 之 后 ， 就 可 以 成 为 一 名 黑客 ， 甚 至 
在 学 会 使 用 一 些 黑客 软件 后 ， 同 样 有 能 力 对 网 络 实施 攻击 。 


3.1.1 黑客 的 由 来 


黑客 是 “Hacker” 的 音译 ， 源 于 英文 动词 Hack， 其 引申 意义 是 指 “ 干 了 一 件 非常 漂亮 的 
事情 ”。 

在 牛津 字典 中 ,“Hacker” 这 个 词 是 用 来 形容 那些 热衷 解决 问题 、 克 服 限制 的 人 ， 并 不 音 
单 指 限制 于 ) 电子 、 计 算 机 或 网 络 “Hacker”，“Hacker” 的 通 性 不 是 处 于 某 个 环境 中 的 人 所 
特有 的 ， 它 的 本 质 可 以 发 挥 在 其 他 任何 领域 ， 如 艺术 等 方面 ， 事 实 上 ， 在 任何 一 种 科学 或 艺 


术 的 最 高 境界 ， 都 可 以 看 到 “Hacker” 的 特质 。 

黑客 最 早 始 于 20 世纪 50 年 代 ， 它 们 一 般 都 是 一 些 高 级 的 技术 人 员 ， 热 衷 于 挑战 、 崇 尚 
自由 并 且 主 张 信 息 的 共享 。 

1994 年 以 来 ， 因 特 网 在 全 球 的 迅速 发 展 为 人 们 带 来 了 方便 、 自 由 和 无 限 的 访问 ， 政 治 、 
军事 、 经 济 、 科 技 、 教 育 、 文 化 等 各 个 方面 都 越 来 越 网 络 化， 并 且 逐 渐 成 为 人 们 生活 、 娱 乐 
的 一 部 分 。 可 以 说 ， 信 息 时 代 已 经 到 来 且 随 着 计算 机 和 网 络 技术 的 发 展 ， 黑 客 也 随 之 出 现 。 

黑客 不 干涉 政治 ， 不 受 政治 利用 ， 他 们 的 出 现 推动 了 计算 机 和 网 络 的 发 展 与 完善 。 黑 客 
所 做 的 不 是 恶意 破坏 ， 他 们 追求 共享 、 免 费 ， 提 倡 自 由 、 平 等 。 黑 客 的 存在 是 由 于 计算 机 技 
术 的 不 健全 ， 从 某 种 意义 上 讲 ， 计 算 机 的 安全 需要 更 多 的 黑客 去 维护 。 


3.1.2 黑客 的 行为 发 展 趋势 


在 早期 ， 黑 客 是 指 专门 研究 、 发 现 计算 机 和 网 络 漏洞 的 计算 机 爱好 者 ， 他 们 伴随 着 计算 
机 和 网 络 的 发 展 而 不 断 成 长 。 
黑客 通常 非常 精通 计算 机 硬件 和 软件 知识 ， 并 有 能 力 通 过 创新 的 方法 剖析 系统 。 他 们 通 
常会 去 寻找 网 络 中 存在 的 漏洞 ， 但 是 往往 并 不 去 破坏 计算 机 系统 。 黑 客 对 计算 机 有 着 狂热 的 
兴趣 和 执着 的 追求 ， 他 们 不 断 地 研究 计算 机 和 网 络 知识 ， 发 现 计算 机 和 网 络 中 存在 的 漏洞 ， 
喜欢 挑战 高 难度 的 网 络 系统 并 从 中 找 出 漏洞 ， 提 出 解决 和 修补 漏洞 的 方法 ， 从 而 帮助 管理 员 
进一步 完善 系统 。 
早期 黑客 的 行为 具有 一 定 的 职业 道德 ， 他 们 通常 都 遵循 如 下 12 条 黑客 守则 。 
口 不 要 恶意 破坏 任何 系统 ， 这 样 做 只 会 给 自己 带 来 麻烦 。 
口 不 要 破坏 别人 的 软件 和 资料 。 恶 意 破坏 他 人 的 软件 将 导致 法 律 责任 ， 如 果 只 是 使 用 计 
算 机 ， 那 仅 为 非法 使 用 ， 注 意 千 万 不 要 破坏 别人 的 文件 或 数据 。 
口 不 修改 任何 系统 文件 ， 如 果 是 因为 进入 系统 的 需要 而 修改 了 系统 文件 ， 那 么 请 在 目的 
达到 后 将 它 改 回 原状 。 
口 不 要 轻易 将 要 黑 的 或 者 黑 过 的 站 点 告诉 不 信任 的 朋友 。 
口 在 发 表 黑客 文章 时 ， 不 要 使 用 真实 姓名 。 
口 正在 入 侵 时 ， 不 要 随意 离开 自己 的 计算 机 。 
口 不 要 入 侵 或 破坏 政府 机 关 的 主机 。 
口 将 笔记 放 在 安全 的 地 方 。 
口 已 入 侵 的 计算 机 中 的 账号 不 得 清除 或 修改 。 
口 可 以 为 隐藏 自己 的 入 侵 而 作 一 些 修改 ， 但 要 尽量 保持 原 系统 的 安全 性 ， 不 能 因为 得 到 
系统 的 控制 权限 而 将 门户 大 开 。 
口 不 要 做 一 些 无 聊 的 、 单 调 且 思 蠢 的 重复 性 工作 。 
口 做 真正 的 黑客 ， 读 遍 所 有 有 关系 统 安 全 或 系统 漏洞 的 书籍。 
但 是 ， 随 着 黑客 的 发 展 ， 有 些 黑客 逾越 尺度 ， 运 用 自己 的 知识 做 出 有 损 他 人 权益 的 事情 ， 
这 些 黑客 逐渐 被 人 们 称 为 骇 客 〈Cracker)。 骇 客 指 的 是 那些 利用 漏洞 破坏 网 络 安全 的 人 ， 他 们 
会 通过 计算 机 系统 漏洞 来 入 侵 ， 他 们 也 有 具备 广泛 的 计算 机 知识 ， 但 与 黑客 不 同 的 是 ， 他 们 以 
破坏 为 目的 。 


遗憾 的 是 ， 目 前 人 们 已 经 把 黑客 (Hacker) 和 骇 客 (Cracker) 混为一谈 ， 人 们 通常 将 入 
侵 计 算 机 系统 的 人 称 为 黑客 。 

黑客 在 网 上 的 攻击 活动 每 年 以 10 倍 的 速度 增长 ， 他 们 修改 网 页 进行 恶作剧 ， 窃 取 网 上 信 
息 兴风作浪 ， 非 法 进入 主机 破坏 程序 、 阻 塞 用 户 、 窃 取 密码 ， 进 入 银行 网 络 转移 金钱 ， 进 行 
电子 邮件 骚扰 ， 黑 客 的 破坏 行为 无 孔 不 入 。 美 国 每 年 因 黑 客 而 损失 近 百 亿美 元 。 

从 20 世纪 50 年 代 ， 第 一 位 黑客 在 麻 省 理工 学 院 电 子 实验 室 诞生 起 ， 几 十 年 来 ， 有 关 黑 
客 的 重要 事件 如 下 所 示 。 


日 
口 


口 


口 


口 


日 
县 


1979 年 ，15 岁 的 凯 文 - 米 特 尼 克成 功 地 入 侵 北美 防空 指挥 部 主机 。 

1983 年 ， 由 6 位 黑客 组 成 的 小 组 入 侵 了 洛斯 阿拉 英 斯 国家 实验 室 。 他 们 中 年 龄 最 大 的 
仅 19 岁 。 

1987 年 ， 赫 尔 伯 特 入 侵 美 国电 话 公司 ， 他 也 是 黑客 中 第 一 位 被 判刑 的 人 ， 当 时 年 仅 
有 

1988 年 ， 莫 里 斯 导致 了 “蠕虫 ”事件 。 美 国 国防 部 不 得 不 切断 军事 网 与 ARPAnet 之 
间 的 物理 连接 。 

1995 年 ， 俄 罗斯 黑客 列 文 盗 取 银 行 资金 370 多 万 美金 ， 被 判刑 ; 同年 ， 著 名 黑客 凯 
文 . 米 特 尼 克 被 捕 。 

1998 年 ， 中 国 镇 江 黑 客 赫 景 华 兄 弟 两 人 因 盗 窃 银行 资金 被 判 死 刑 。 

1999 年 ， 网 络 迅 速 发 展 ， 同 时 一 群 技术 刚刚 起 步 的 黑客 开始 建设 自己 的 黑客 网 站 。 
从 1999 年 到 2000 年 间 ， 中 国 黑客 联盟 、 中 国府 派 、 中 国 红 客 联盟 等 一 大 批 黑客 网 站 
2000 年 ， 雅 虎 、CNN 等 各 大 网 站 遭 到 了 DDoS 的 攻击 ， 网 络 大 面积 瘫 站 。 

2001 年 ，8 月 红色 代码 事件 ; 9 月 尼 姆 达 事件 ; 12 月 5 日， 美国 计算 机 安全 事故 协调 
中 心 (CERT ) 遭 黑客 攻击 ， 造 成 该 中 心 网 站 不 能 正常 工作 ， 该 中 心 主任 理 查 德 . 玻 西 
亚 说 : “黑客 攻击 提醒 我 们 ， 没 有 任何 计算 机 系统 是 完全 免疫 的 。” 

2001 年 4 月 4 日 ， 美 国 一 些 黑客 组 织 相继 对 中 国 的 一 些 政府 、 人 企业、 教育、 科研、 电 
信 等 网 站 进行 攻击 。 特 别 是 中 美 撞 机 事件 发 生 后 ， 我 国 的 一 些 黑客 组 织 发 起 了 一 场 网 
络 反 击 战 。 这 样 便 引发 了 一 个 具有 历史 意义 的 事件 一 一 中 美 黑客 大 战 。 

2003 年 1 月 SQL SLAMMER 事件 .3 月 口令 蠕虫 事件 、 红 色 代码 F 变种 事件 .8 月 “ 冲 
击 波 ” 蠕 虫 事件 。8 月 11 日 , “冲击 波 ”病毒 开始 在 美国 出 现 ， 随 后 不 到 一 周 之 内 ， 
全 球 近 40 万 台 使 用 Windows 系列 操作 系统 的 计算 机 均 被 感染 。 “冲击 波 ” 恶 性 计算 机 
蠕虫 病毒 在 全 球 范围 内 迅速 泛滥 ， 所 到 之 处 ， 计 算 机 反复 重新 启动 ， 文件 大 量 丢 失 。 
美国 联邦 调查 局 经 过 调查 宣称 ， 他 们 找到 了 影响 全 球 计算 机 的 “冲击 波 ” 病 毒 制作 者 
之 一 : 一 个 年 仅 18 岁 的 青年 。9 月 9 日 ， 以 技术 高 超 、 神 出 鬼 没 而 出 名 的 美国 黑客 阿 
德里 安 . 拉 莫 来 到 加 利 福 尼 亚 的 一 家 联邦 法 院 自首 ， 承 认 他 在 过 去 几 年 内 曾 成 功 入 侵 
了 Google、 雅 虎 .《 纽 约 时 报 》 等 多 家 大 型 网 站 。 

2004 年 , 美国 当地 时 间 6 月 15 日 早上 , 美国 互联 网 服务 公司 AKAMAI 受到 黑客 袭击 ， 
致使 在 两 个 小 时 的 时 间 内 , 雅虎 .Google 和 微软 等 著名 企业 的 网 站 无 法 正常 登录 。 2004 
年 病毒 和 黑客 的 破坏 行为 仍然 呈 上 升 趋势 ,制造 病毒 越 来 越 容易 ,病毒 变种 越 来 越 多 ， 
出 现 得 也 越 来 越 快 ， 病 毒 和 黑客 越 来 越 贪 禁 ， 骗 术 也 越 来 越 高 明 。 


在 我 国 ， 早 在 1993 年 ， 中 科 院 高 能 所 通过 专线 接 入 Intemet 时 ， 国 外 黑客 就 入 侵 过 高 能 
所 的 系统 。1996 年 2 月 ， 刚 开通 不 久 的 Chinanet 受到 攻击 ， 并 且 得 偿 ， 不 但 网 络 上 的 主机 系 
统 遭 受 攻击 ， 就 是 拨号 上 网 的 个 人 用 户 也 受到 牵连 。2005 年 1 月 ， 辽 宁 铁通 的 网 络 也 遭受 到 
黑客 攻击 ， 导 致 大 量 带宽 用 户 不 能 上 网 。 我 国 的 黑客 大 致 经 历 了 以 下 几 个 阶段 。 

口 第 1 代 (1996 年 一 1998 年 ) 

1996 年 Internet 在 中 国 兴 起 , 但 是 由 于 受到 各 种 条 件 的 限制 , 很 多 人 根本 没有 机 会 接触 网 
络 。 当 时 计算 机 在 我 国 还 没有 达到 普及 的 程度 ， 大 部 分 地 区 也 没有 开通 因特网 的 接 入 服务 ， 
因此 第 1 代 黑 客 大 多 是 从 事 科 研 工作 的 人 ， 只 有 他 们 才 有 机 会 频繁 地 接触 计算 机 和 网 络 。 

1998 年 8 月 爆发 了 东南 亚 金融 危机 , 并 且 在 一 些 地 区 发 生 了 严重 的 针对 当地 华人 的 暴乱 。 
国内 计算 机 爱好 者 怀 着 一 颗 爱国 之 心 和 对 同胞 惨遭 杀害 的 悲痛 之 情 ， 纷 纷 对 这 些 行为 进行 抗 
议 。 当 时 黑客 代表 组 织 为 “绿色 兵团 ”( 中 国 大 陆 最 大 最 早 的 民间 黑客 组 织 之 一 )。 

口 第 2 代 (1998 年 一 2000 年 ) 

随 着 计算 机 的 普及 和 Internet 的 发 展 ， 越 来 越 多 的 人 有 机 会 接触 计算 机 和 网 络 。 在 第 1 代 
黑客 的 影响 和 指导 下 ， 中 国 出 现 第 2 代 黑 客 。 他 们 一 部 分 是 从 事 计 算 机 行业 的 工作 者 和 网 络 
爱好 者 ， 另 一 部 分 是 在 校 学 生 。 第 2 代 黑 客 的 兴起 是 由 1999 年 5 月 8 日 美国 稻 炸 中 国 驻 南 斯 
拉夫 大 使 馆 事 件 引 起 的 ， 黑 客 代表 组 织 为 “中 国 黑客 联盟 ”。 

口 第 3 代 (2000 年 至 今 ) 

主要 由 在 校 学 生 组 成 ， 其 技术 水 平和 文化 素质 与 前 两 代 相 差 甚 远 ， 大 都 是 照搬 网 上 一 些 
由 前 人 总 结 出 来 的 经 验 和 攻击 手法 。 目 前 网 络 上 所 谓 的 入 侵 者 也 是 由 这 一 代 组 成 。 


3.2 ”常见 的 网 络 攻击 


由 于 系统 脆弱 性 的 客观 存在 ， 操 作 系统 、 应 用 软件 、 硬 件 设 备 不 可 避免 地 存在 一 些 安全 
漏洞 ， 网 络 协议 本 身 的 设计 也 存在 一 些 安全 隐患 ， 这 些 都 为 攻击 者 采用 非 正常 手段 入 侵 系统 
提供 了 机 会 。 目 前 ,常见 的 网 络 攻击 包括 网 站 被 黑 、 数 据 被 改 或 被 窃 、 秘 密 泄露 、 非 法 删除 等 。 


3.2.1 攻击 目的 


网 络 安全 主要 表现 在 信息 的 完整 性 、 保 密 性 、 可 用 性 、 不 可 否认 性 和 可 控 性 ， 对 于 攻击 
者 来 讲 ， 就 是 要 通过 一 切 可 能 的 方法 和 手段 来 破坏 这 些 安全 属性 。 因 此 ， 攻 击 目 的 能 够 表明 
入 侵 目 的 ， 也 是 理解 攻击 者 (或 称 为 黑客 ) 的 关键 。 通 常 多 个 攻击 目的 相互 共存 。 


网 络 信息 的 保密 性 目标 是 防止 未 经 授权 泄露 敏感 信息 。 网 络 中 需要 保护 的 信息 通常 包括 
重要 配置 文件 、 用 户 账号 、 注 册 信息 、 商 业 数 据 〈 如 产品 计划 ) 等 。 通 常 获 取保 密 信息 包括 
以 下 几 个 方面 。 

口 获取 超级 用 户 的 权限 

具有 超级 用 户 的 权限 ， 意 味 着 可 以 做 任何 事情 ， 这 对 于 入 侵 者 来 讲 无 疑 是 一 个 莫大 的 诱 


惑 。 在 一 个 局 域 风 中， 掌握 一 台 计算 机 的 超级 用 户 权限 ， 也 就 掌握 了 整个 子 网 。 

口 对 系统 进行 非法 访问 

一 般 来 讲 ， 计 算 机 系统 是 不 允许 其 他 用 户 访问 的 ， 如 一 个 公司 的 网 络 等 。 因 此 ， 必 须 采 
取 一 种 非 正常 的 行为 来 取得 系统 的 访问 权限 。 这 种 攻击 的 目的 并 不 一 定 代表 黑客 (或 攻击 者 ) 
要 做 什么 , 或 许 只 是 为 访问 而 攻击 。 例如， 在 一 个 有 许多 Windows XP 用 户 的 网 络 中 ， 常 常会 
有 许多 用 户 将 自己 的 文件 共享 给 其 他 用 户 使 用 ， 于 是 别人 《攻击 者 ) 就 可 以 通过 攻击 来 从 容 
地 在 这 些 计算 机 上 浏览 、 寻 找 自 己 感 兴趣 的 东西 ， 删 除 或 更 换文 件 等 。 

口 获取 文件 和 传输 中 的 数据 

攻击 者 的 目标 就 是 系统 中 的 重要 数据 ， 因 此 攻击 者 主要 通过 登录 目标 主机 ， 或 是 使 用 网 
络 监听 进行 攻击 来 获取 文件 和 传输 中 的 数据 。 

常见 的 针对 信息 保密 的 攻击 方法 包括 使 用 社会 工程 学 手动 骗取 用 户 名 和 密码 、 发 布 免费 
软件 ， 内 含 早期 计算 机 信息 的 木马 、 搭 线 窃听 、 偷 看 网 络 传输 数据 等 进行 拦截 网 络 信息 、 使 
用 敏感 的 无 线 电 接收 设备 ， 远 距离 接收 计算 机 操作 者 的 输入 和 屏幕 显示 产生 的 电磁 辐射 、 将 
网 络 重 定向 ， 攻 击 者 通过 使 用 一 些 手 段 将 信息 发 送 端 重 定向 到 攻击 者 所 在 的 计算 机 ， 然 后 再 
转发 给 接收 者 。 例 如 ， 攻 击 者 伪造 某 网 上 银行 域名 或 相似 域名 ， 欺 骗 用 户 账号 和 密码 。 

另外 ， 攻 击 者 使 用 数据 推理 ， 可 能 从 已 公开 的 信息 中 推测 出 其 他 敏感 信息 。 


| 


网 络 信息 的 完整 目标 是 防止 未 经 授权 信息 修改 ， 在 一 些 特定 的 环境 中 ， 完 整 性 比 保密 性 
更 重要 。 例 如 ， 攻 击 者 将 一 笔 电子 交易 的 金额 由 100 万 改 为 1000 万 甚至 更 多 ， 这 比 泄露 交易 
本 身 结 果 更 严重 。 

另外 ， 涂 改 信息 包括 对 重要 文件 的 修改 、 更 换 和 删除 。 其 中 ， 删 除 是 一 种 很 恶劣 的 行为 。 
不 真实 或 者 错误 的 信息 都 将 对 用 户 造成 很 大 的 损失 。 攻 击 者 通常 伪装 成 具有 特权 的 用 户 来 破 
坏 网 络 信息 的 完整 性 。 这 些 方法 包括 密码 猜测 、 窃 取 口 令 、 窃 听 网 络 连接 口令 、 密 钥 泄 露 、 
中 继 攻击 等 。 


可 用 性 是 指 信息 可 被 授权 者 访问 并 按 需求 使 用 的 特性 。 即 保证 合法 用 户 对 信息 和 资源 的 
使 用 不 会 被 不 合理 地 拒绝 。 

拒绝 服务 攻击 就 是 针对 网 络 可 用 性 进行 的 攻击 ， 其 方式 有 多 种 ， 如 将 连接 局 域 网 的 电缆 
接地 、 向 渔民 服务 器 发 送 大 量 无 意义 的 请 求 ， 使 得 它们 无 法 完成 从 其 他 计算 机 发 来 的 解析 请 
求 、 制 造 网 络 风暴 ， 让 网 络 中 充斥 着 大 量 的 封包 ， 占 据 网 络 带宽 ， 延 缓 网 络 的 传输 。 


可 控 性 是 指 对 信息 的 传播 及 内 容 具 有 控制 能 力 的 特性 。 授 权 机 构 可 以 随时 控制 信息 的 机 
密 性 ， 能 够 对 信息 实施 安全 监控 。 例 如 ， 网 络 蠕虫 、 垃 圾 邮件 、 域 名 服务 器 数据 破坏 等 攻击 
都 属于 此 类 攻击 。 

攻击 者 使 用 一 些 系统 工具 会 被 系统 日 志 记录 下 来 ， 如 果 直 接 发 给 自己 的 站 点 也 会 暴露 自 
己 的 身份 和 地 址 ， 于 是 在 窃取 信息 时 ， 攻 击 者 将 这 些 信息 和 数据 发 送 到 一 个 公开 的 站 点 〈 如 


FTP)， 或 者 利用 电子 邮件 寄 往 一 个 可 以 取 到 的 地 方 ， 以 后 再 从 这 些 地 方 取 走 。 这 样 可 以 很 好 
地 隐藏 自己 。 但 是 ， 将 这 些 重 要 信息 发 往 公 开 的 站 点 也 造成 了 信息 的 扩散 ， 由 于 那些 公开 站 
点 通常 会 有 许多 人 访问 ， 其 他 用 户 也 完全 可 能 得 到 这 些 信 息 ， 并 再 次 扩散 出 去 。 

在 局 域 网 中 ， 用 户 被 允许 访问 一 些 特定 资源 ， 而 很 多 访问 都 不 限制 。 例 如 ， 网 关 对 一 些 
站 点 的 访问 进行 严格 控制 等 。 许 多 用 户 都 有 意 无 意 地 去 尝试 尽量 获取 超出 自身 权限 的 访问 ， 
于 是 便 寻 找 管理 员 在 配置 中 的 漏洞 ， 或 者 使 用 一 些 工 具 来 突破 系统 防线 ， 如 特洛伊 木马 就 是 
一 种 常用 手段 。 


攻击 者 为 了 能 够 逃避 惩罚 ， 往 往 会 通过 清除 攻击 痕迹 等 方式 抵赖 攻击 行为 ， 或 进行 责任 
转嫁 ， 达 到 陷害 他 人 的 目的 。 攻 击 者 为 了 攻击 的 需要 ， 会 找 出 一 个 中 间 站 点 来 运行 所 需要 的 
程序 ， 并 且 这 样 也 可 以 避免 暴露 自己 的 真实 地 址 。 即 使 被 发 现 了 ， 也 只 能 找到 中 间 站 点 地 址 。 

另外 ， 假 使 有 一 个 站 点 能 够 访问 另 一 个 严格 受 控 的 站 点 或 网 络 ， 为 了 攻击 这 个 严格 受 控 
的 站 点 或 网 络 ， 入 侵 者 会 借助 中 间 站 点 主机 ， 对 严格 受 控 站 点 的 目标 主机 进行 访问 或 工具 。 
当 造 成 损失 时 ， 责 任 会 转嫁 到 中 间 站 点 主机 的 管理 员 身 上 。 

另外 ， 理 解 攻击 目的 还 有 助 于 人 们 了 解 是 哪些 因素 使 计算 机 及 其 网 络 成 为 这 些 人 的 目标 。 
是 因为 系统 有 价值 ， 还 是 具有 诱惑 性 ? 哪 种 类 型 的 入 侵 者 对 系统 感 兴趣 ? 这些 问 题 的 答案 可 
以 使 安全 专家 更 好 地 评估 对 系统 的 威胁 。 也 有 利于 针对 存在 问题 制定 相应 的 安全 策略 。 从 这 
个 角度 来 讲 通常 包括 如 下 3 个 攻击 目的 。 

口 挑战 

攻 入 计算 机 系统 的 初始 目的 是 因为 这 种 行为 具有 挑战 性 ， 这 也 是 最 常见 的 黑客 攻击 目的 。 
在 黑客 成 功 进 入 他 人 的 系统 之 后 ， 他 们 就 会 感觉 很 有 成 就 感 ， 便 会 在 ntemet 在 线 聊 天 室 或 论 
坛 中 的 一 些 专门 为 此 设置 的 频道 或 栏目 中 吹 咕 他 们 的 成 就 。 通 过 对 相应 频道 或 栏目 的 监听 表 
明 ， 黑 客 通 过 攻击 有 难度 的 系统 或 大 量 的 系统 ， 或 者 控制 、 涂 改 他 们 所 入 侵 系统 的 内 容 而 赢 
得 地 位 。 

挑战 的 另 一 个 方面 不 是 攻击 一 个 系统 的 难度 ， 而 是 成 为 第 一 个 攻 入 特定 系统 的 人 或 攻击 
的 系统 数据 量 最 多 。 有 时 ， 黑 客 会 将 使 他 们 成 功 攻击 系统 时 利用 的 薄弱 点 消除 ， 以 防 其 他 人 
再 次 攻击 该 系统 。 

这 种 具有 挑战 目的 的 黑客 通常 是 无 目标 的 ， 也 就 是 说 ， 那 些 以 攻击 为 乐趣 的 人 并 不 真正 
关心 他 攻击 的 是 哪 一 个 系统 。 他 们 一 般 不 会 以 寻找 特定 信息 或 访问 为 目标 ， 这 对 安全 的 意义 
很 有 说 明 性 ， 因 为 连接 Internet 的 所 有 系统 都 是 潜在 的 目标 。 

口 贪 楚 

在 这 里 将 贪 禁 引 申 为 包括 任何 以 获得 钱财 、 货 物 、 服 务 或 信息 的 欲望 。 因 此 通过 识别 、 
抓获 黑客 并 对 其 进行 判 罪 的 难度 ， 来 证 明 这 种 目的 的 攻击 行为 。 

如 果 发 现 入 侵 活动 ， 那 么 大 多 数 用 户 都 会 修补 导致 入 侵 的 薄弱 点 ， 清 理 系统 并 继续 他 们 
的 工作 。 一 些 用 户 可 能 会 通知 执法 机 关 ， 但 追踪 入 侵 者 的 工作 会 因 缺 少 证 据 、 黑 客 技术 水 平 
较 高 或 黑客 在 没有 计算 机 安全 法 律 国家 使 用 计算 机 而 受到 削弱 。 假 设 追 踪 并 逮捕 了 黑客 ， 那 
么 必须 将 这 个 案件 提交 法 庭 ， 检 察 院 必须 在 合理 的 怀疑 之 外 提供 证 据 证 明 坐 在 被 告 席 上 的 人 
就 是 攻 入 受害 的 系统 并 窃取 了 一 些 东西 的 那个 人 ， 这 是 很 困难 的 。 


下 面 看 看 “熊猫 烧香 ”病毒 的 案例 。 据 腾讯 网 2007 年 2 月 份 的 消息 ， 曾 在 互联 网 上 引起 
恐慌 的 “熊猫 烧香 ”病毒 案 日 前 在 湖北 告破 ， 病 毒 制造 者 李 某 与 其 他 5 名 主要 贩卖 、 传 播 者 
落网 ， 这 是 我 国 破获 的 国内 首 例 制作 计算 机 病毒 的 大 案 。 消 息 一 出 ， 网 上 与 论 一 片 欢腾 。 山 
东 威 海 的 王 某 是 “熊猫 烧香 ”病毒 的 主要 购买 和 传播 者 之 一 。 他 贩卖 “熊猫 烧香 ”病毒 不 足 
一 个 月 ， 赚 的 钱 就 买 了 一 辆 吉普 车 。 被 抓获 后 ，22 岁 的 王 某 长 叹 :“ 这 是 个 比 房地产 来 钱 还 快 
的 暴利 产业 !1”。 

“熊猫 烧香 ”病毒 自 2006 年 12 月 初 开始 暴发 ， 到 2007 年 1 月 中 旬 ， 该 病毒 变种 数 已 达 
90 多 种 ， 国 内 多 家 门户 网 站 被 种 植 这 一 病毒 ,个 人 用 户 感 染 者 已 经 高 达 几 百 万 。2007 年 1 月 
31 日 ， 公 安 部 抽调 精干 技术 力量 指导 办 案 。2007 年 2 月 3 日 ， 仙 桃 警方 在 武汉 市 抓获 病毒 制 
造 者 李 某 。 此 后 10 天 内 ， 王 某 及 其 他 4 名 涉嫌 贩卖 传播 病毒 的 骨干 分 子 被 缉拿 归案 。 

这 个 例子 展示 了 关于 贪 禁 的 关键 点 : 必须 有 一 种 方式 能 够 控制 犯罪 的 消极 影响 。 所 以 就 
攻击 系统 的 情况 来 说 ， 被 捕 和 被 判 有 罪 的 风险 很 小 ， 因 此 偷窃 信 用 卡号 、 货 物 或 信息 的 窃贼 
的 潜在 收益 非常 大 。 贪 焚 的 黑客 会 寻找 可 以 卖 掉 或 用 来 获取 钱财 的 特定 类 型 的 信息 。 

这 种 贪 禁 的 黑客 很 可 能 有 明确 的 目标 。 这 时 ， 包 含有 价值 的 内 容 ( 软 件 、 钱 财 或 信息 ) 
的 站 点 是 首要 目标 。 

2007 年 2 月 国家 计算 机 网 络 应 急 技术 处 理 协 调 中 心 发 布 《2006 年 网 络 安全 工作 报告 》 公 
告 称 ， 我 国 网 络 安全 事故 同比 有 大 幅度 增加 ， 其 中 ， 国 内 政府 机 构 网 页 算 改 事件 、 国 内 外 商 
业 机 构 网 页 被 仿冒 事件 和 针对 互联 网 企业 拒绝 服务 攻击 事件 的 影响 最 为 严重 。 

该 报告 指出 ， 僵 尸 网 络 和 木马 威胁 非常 严重 ， 攻 击 者 非法 利益 目的 更 加 明确 、 行 为 更 加 
嚣张， 黑客 地 下 产业 链 基 本 形成 。 恶 意 代码 成 为 黑客 入 侵 用 户主 机 、 构 建 僵尸 网 络 进而 窃取 
用 户 重 要 信息 并 控制 受害 计算 机 发 起 大 规模 攻击 的 重要 手段 。 国 家 计算 机 网 络 应 急 技术 处 理 
协调 中 心 每 天 能 发 现 新 的 漏洞 攻击 型 恶意 代码 96 个 ， 每 天 捕获 次 数 3069 次 。 

国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 称 ， 我 国 互 联网 用 户 和 信息 系统 遭受 攻击 的 情况 
不 容 乐观 。 在 木马 方面 ， 国 家 计算 机 网 络 应 急 技术 处 理 协调 中 心 抽样 发 现 ，2006 年 我 国 大 约 
有 4.5 万 个 卫 地 址 〈 包 含 动态 耳 ) 的 主机 被 植 入 木马 ， 比 同期 增加 1 倍 。 

在 僵尸 网 络 方面 ,去 年 我 国有 1000 多 万 个 IP 地 址 主机 被 植 入 僵尸 程序 。 境 外 1.6 万 个 IP 
对 中 国 的 僵尸 主机 进行 控制 ， 主 要 位 于 美国 、 韩 国 等 。 

在 网 页 算 改 方面 ，2006 年 我 国 被 算 改 的 网 站 达到 24477 个 ， 同 比 增长 约 1 倍 。 其 中 .gov 
网 站 被 自 改 数量 为 3831 个 。 

2006 年 , 与 用 户 密切 相关 的 漏洞 有 87 个 ,同比 增长 16%。 其 中 部 分 漏洞 严重 威胁 互联 网 
运行 安全 ， 大 多 数 漏洞 对 用 户 的 系统 造成 严重 威胁 。 

2006 年 ， 与 安全 漏洞 关系 密切 的 “ 零 日 攻击 (漏洞 公布 当日 就 出 现 攻 击 手段 )” 现 象 明 
显 增加 。 

国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 认 为 ， 我 国 公共 互联 网 网 络 安全 令 人 担忧 。 未 来 ， 
在 利益 驱动 下 ， 网 络 安全 事故 将 更 加 频繁 、 隐 蔽 和 复杂 。 

口 恶意 

恶意 也 是 黑客 攻击 的 目的 之 一 。 在 这 种 情况 下 ， 表 现 为 恶作剧 或 故障 破坏 ， 黑 客 不 关心 
对 系统 的 控制 〈 除 了 进一步 的 破坏 之 外 )。 相 反 ， 黑 客 打算 通过 拒绝 合法 用 户 使 用 计算 机 或 者 
将 站 点 的 消息 更 改 为 对 合法 拥有 者 不 利 的 形式 来 造成 破坏 。 恶 意 攻击 一 般 会 针对 特定 目标 。 


黑客 会 积极 寻找 破坏 特定 站 点 或 机 构 的 方式 。 

黑客 进行 故障 破坏 的 潜在 理由 可 能 是 他 (或 她 ) 觉得 受到 了 被 攻击 者 的 不 公平 对 待 或 者 
想 通 过 丑化 来 达到 其 他 的 目的 。 无 论 真 正 的 原因 是 什么 ， 攻 击 的 目的 是 进行 破坏 而 不 获得 信 
息 或 利益 。 


3.2.2 攻击 分 类 


十 几 年 前 ， 网 络 工具 还 仅 局 限于 破解 口令 和 利用 操作 系统 已 知 漏洞 等 有 限 的 几 种 方法 ， 
随 着 计算 机 和 网 络 技术 的 发 展 网 络 攻击 技术 也 在 不 断 发 展 ， 攻 击 手段 也 越 来 越 多 。 下 面 基于 
技术 手段 的 不 同 对 网 络 攻击 进行 分 类 ， 以 便 用 户 能 够 更 多 地 了 解 网 络 的 攻击 行为 ， 并 根据 不 
同 的 攻击 类 型 采取 相应 的 安全 防范 措施 。 


i 


登录 一 台 计 算 机 最 容易 的 方法 就 是 使 用 正确 的 口令 进入 。 口 令 窃取 一 直 是 网 络 安全 中 的 
一 个 重要 问题 ， 口 令 的 泄露 意味 着 整个 系统 的 防护 已 经 被 瓦解 。 
攻击 者 使 用 最 多 的 攻击 方法 就 是 口令 猜测 ， 即 利用 字典 或 穷 举 的 方法 把 口令 找 出 来 。 


i 


事实 上 ， 目 前 还 没有 完美 无 缺 的 代码 ， 在 系统 的 某 处 也 许 正 潜伏 着 重大 的 缺陷 或 者 后 门 ， 
等 待人 们 发 现 。 谁 发 现 并 不 重要 ， 重 要 的 是 谁 先 发 现 ， 是 安全 专家 还 是 黑客 们 (攻击 者 )。 

只 要 本 着 怀疑 一 切 的 态度 ， 从 各 个 方面 检查 所 输入 信息 的 正确 性 ， 这 些 缺 陷 是 可 以 回避 
的 。 例 如 ， 如 果 程序 存在 固定 长 度 缓冲 区 ， 那 么 就 保证 它 不 溢出 ; 如 果 使 用 动态 内 存 分 配 ， 
一 定 要 为 内 存 或 文件 系统 的 耗 尽 作 好 准备 ， 并 且 及 时 释放 已 分 配 的 内 存 。 


i 


即使 是 一 个 完善 的 机 制 在 某 些 特定 情况 下 也 会 被 攻破 ， 因 为 ， 如 果 源 计算 机 不 可 信 ， 那 
么 基于 地 址 的 鉴别 也 将 失效 。 

一 个 源 地 址 有 效 性 的 验证 机 制 ， 在 某 些 应 用 场合 〈 如 防火 墙 筛选 伪造 的 数据 包 ) 能够 发 
挥 作用 ， 但 是 黑客 可 以 使 用 Portmapper (端口 映射 器 ) 程序 重 传 某 一 请 求 ， 在 这 种 情况 下 ， 
服务 器 最 终 会 受到 欺骗 ， 对 于 这 些 服 务 器 来 讲 ， 报 文 表面 上 源 于 本 地 ， 但 实际 上 却 源 于 其 他 
地 方 。 


i 


寻找 协议 漏洞 一 直 在 黑客 中 长 盛 不 衰 ， 在 密码 学 研究 领域 更 是 如 此 。 有 时 是 由 于 密码 生 
成 者 犯 了 错误 ， 使 得 密码 过 于 明了 和 简单 。 但 更 多 的 情况 是 由 于 不 同 的 假设 造成 的 ， 而 证 明 
密码 交换 的 正确 性 是 很 困难 的 事 。 


i 


信息 泄露 是 指 信 息 被 泄露 或 透漏 给 某 个 非 授权 实体 ， 大 多 数 的 协议 都 会 泄露 某 些 信息 。 
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高 明 的 黑客 并 不 需要 知道 局 域 网 中 有 哪些 计算 机 ， 他 们 只 要 通过 地 址 空间 和 端口 扫描 ， 就 能 
够 找到 隐藏 的 主机 和 感 兴趣 的 服务 。 最 好 的 防御 方法 是 配置 高 性 能 防火 墙 ， 如 果 黑 客 们 不 能 
够 向 一 台 计算 机 发 送 数据 包 ， 那 么 该 计算 机 就 不 容易 被 入 侵 。 


[6 数 骗 攻击 

网 络 欺骗 攻击 是 一 种 非常 专业 化 的 攻击 手段 ， 给 网 络 安全 管理 者 带 来 了 严峻 的 考验 。 其 
主要 方式 包括 卫 欺骗 、ARP 欺骗 、DNS 欺骗 、Web 欺骗 、 电 子 邮 件 其 骗 、 源 路 由 欺骗 (通过 
指定 路 由 ， 以 假冒 身份 与 其 他 计算 机 进行 合法 通信 或 发 送 报 文 ， 使 受 攻击 计算 机 出 现 错误 动 
作 )、 非 技术 类 欺骗 (利用 人 与 人 之 间 交 往 ， 通 常 以 交谈 、 欺 骗 、 假 冒 或 口语 等 方式 ， 从 合法 
用 户 中 套 取 用 户 系统 的 密码 )。 


人 7， 拒绝 服务 

拒绝 服务 攻击 (Denial of Service，DoS) 是 指 攻击 者 过 多 地 占用 系统 资源 直到 系统 繁忙 、 
超载 而 无 法 处 理 正常 工作 ， 甚 至 导致 被 攻击 的 主机 系统 崩溃 。 攻 击 者 的 目的 很 明确 ， 即 通过 
攻击 使 系统 无 法 继续 为 合法 的 用 户 提供 服务 。 

网 络 攻击 的 分 类 方法 很 多 ， 如 基于 攻击 效果 可 以 将 其 分 为 破坏 、 泄 露 和 拒绝 服务 等 ， 还 
可 以 将 安全 性 的 工具 分 为 被 动 攻击 和 主动 攻击 。 其 中 ， 被 动 攻击 试图 获得 或 利用 系统 的 信息 ， 
但 并 不 会 对 系统 的 资源 造成 破坏 ， 如 窃听 和 检测 等 ， 主 动 攻 击 则 试图 破坏 系统 的 资源 ， 并 影 
响 系 统 的 正常 工作 ， 如 拒绝 服务 等 。 


3.2.3 癌 竺 心得 一 一 娘 户 门 刁 沪 礼 廊 前 防范 分 流 


网 络 后 门 是 保持 对 目标 主机 长 久 控 制 的 关键 策略 ， 通 常 可 以 通过 建立 服务 端口 和 克隆 管 
理 员 账 号 来 实现 。 

只 要 能 不 通过 正常 登录 进入 系统 的 途径 都 称 为 网 络 后 门 。 后 门 的 好 坏 取决 于 被 管理 员 发 
现 的 概率 。 只 要 是 不 容易 被 管理 员 发 现 的 后 门 都 是 好 后 门 。 


(1 留 后 门 的 防范 


通常 , 入 侵 者 在 第 一 次 入 侵 成 功 后 会 在 远程 主机 /服务 器 内 部 建立 一 个 备用 的 管理 员 账 号 ， 
以 便于 更 加 长 久 地 控制 该 主机 /服务 器 ， 这 种 账号 就 是 最 简单 的 “后 门 账号 ”。 

另外 ， 还 有 一 种 克隆 账号 ， 克 隆 账号 就 是 攻击 者 黑客) 可 以 通过 将 管理 员 权 限 复制 给 
一 个 普通 账户 。 简 单 地 说 就 是 将 系统 内 原 有 的 账号 (如 Guest 账号 ) 变 成 具有 管理 员 权限 的 账 
号 。 克 隆 账号 与 直接 赋予 管理 员 权限 的 账号 的 主要 区 别 在 于 直接 赋予 管理 员 权 限 的 账户 ， 可 
以 使 用 “命令 ”或 “账号 管理 ”来 看 出 该 账号 的 真实 权限 ， 而 克隆 出 来 的 账号 却 无 法 被 上 述 
方法 直接 查 出 。 因 此 ， 克 隆 账 号 常 被 入 侵 者 用 来 当做 后 门 账号 。 

为 了 杜绝 Guest 账号 的 入 侵 。 管理 员 可 以 禁用 或 彻底 删除 Guest 账户 , 但 在 某 些 必须 使 用 
到 Guest 账号 的 情况 下 ， 就 需要 通过 其 他 途径 来 做 好 防范 工作 。 首 先 需要 给 Guest 账号 设置 一 
个 强壮 的 密码 ， 然 后 再 详细 设置 Guest 账号 对 物理 路 径 的 访问 权限 (注意 磁盘 必须 是 NTFS 
分 区 )。 
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密码 设置 尽 可 能 使 用 字母 数字 混 排 ， 单 纯 的 英文 或 者 数字 很 容易 穷 举 。 将 常 
用 的 密码 设置 成 不 同 的 ， 防 止 被 人 查 出 一 个 ， 连 带 到 重要 密码 。 重 要 密码 最 
好 经 常 更 换 。 


另外 ， 还 需要 注意 对 如 下 几 个 方面 的 防范 。 

口 实施 用 户 账户 封锁 策略 。 

口 为 系统 和 网 络 的 审计 实施 有 效 的 审计 策略 。 

口 正确 配置 用 户 权 限 将 阻止 恶意 系统 用 户 访问 其 他 用 户 文件 。 

口 保护 系统 文件 和 目录 权限 ， 可 以 有 效 地 保护 日 志文 件 ， 从 而 使 未 授权 用 户 不 能 访问 这 
些 交 件 关 有 

限制 空 连接 ， 保 护 共享 文件 ， 可 以 通过 启用 防火 墙 监视 网 络 连接 情况 。 

口 禁用 不 必要 的 服务 。 


口 


IPC$ ( Internet Process Connection ) 是 共享 “命名 管道 ”的 资源 ， 它 是 为 了 让 
进程 间 通 信 而 开放 的 命名 管道 ， 可 以 通过 验证 用 户 名 和 密码 获得 相应 的 权限 ， 
在 远程 管理 计算 机 和 查看 计算 机 的 共享 资源 时 使 用 。 利 用 IPC$ 连 接 者 不 仅 可 
以 与 目标 主机 建立 一 个 空 的 连接 而 无 需 用 户 名 与 密码 还 可 以 得 到 目标 主机 上 
的 用 户 列 表 。 


(这 清 痕迹 防范 有 

为 了 方便 用 户 对 计算 机 的 使 用 ，Windows 自 带 了 一 些 功 能 (如 自动 记录 功能 )， 但 是 这 些 
功能 在 给 用 户 带 来 方便 的 同时 ， 也 给 攻击 者 〈 黑 客 ) 的 入 侵 带 来 了 方便 ， 他 们 往往 能 够 通过 
用 户 曾经 执行 过 的 操作 痕迹 来 找到 入 侵 系 统 的 方法 及 所 需 的 信息 。 

为 了 避免 这 些 使 用 痕迹 带 来 的 安全 隐患 ， 建 议 用 户 在 使 用 计算 机 的 过 程 中 注意 清理 痕迹 ， 
这 通常 包括 如 下 几 个 方面 的 内 容 。 

口 彻底 删除 文件 

首先 ， 应 从 系统 中 清除 那些 肯定 不 用 的 文件 (丢弃 到 回收 站 中 的 所 有 垃圾 文件 )。 当 然 ， 
用 户 也 可 以 在 任何 想起 的 时 候 将 回收 站 清空 。 但 是 更 好 的 方法 是 关闭 回收 站 的 回收 功能 。 要 
彻底 地 一 次 删除 文件 ， 需 要 右 击 【回收 站 】 图 标 ， 执 行 【 属 性 】 命 令 ， 在 弹出 的 对 话 框 中 ， 
选中 【所 有 驱动 器 均 使 用 同一 设置 】 单 选 按钮 ， 并 启用 【删除 时 不 将 文件 移入 回收 站 ， 而 是 
彻底 删除 】 复 选 框 。 然 后 ， 单 击 【 确 定 】 按 钮 ， 如 图 3-1 所 示 。 

口 删除 文件 记录 

即使 宇 探 者 无 法 直接 浏览 文档 内 容 , 他 们 也 能 够 通过 在 Microsoft Word 或 Excel 的 【文件 】 
菜单 中 查看 到 用 户 最 近 使 用 过 哪些 文件 来 了 解 用 户 的 工作 情况 。 在 该 列表 中 甚至 列 出 了 最 近 
被 删除 的 文件 ， 因 此 最 好 关闭 该 功能 。 其 方法 为 : 在 Word 或 Excel 中 ， 执 行 【Office 按钮 】| 
【Word 选项 】 命 令 ， 在 打开 的 对 话 框 中 ， 选 择 【 高 级 】 选 项 ， 并 在 右 侧 【显示 】 窗 格 中 ， 将 
【显示 此 数目 的 “最 近 使 用 的 文档 ”] 文 本 框 内 数字 修改 为 “0” 如 图 3-2 所 示 。 然 后 , 单 击 【 确 
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定 】 按 钮 。 


回收 站 层 性 [alea 


E23 


kKl YOL3 (E:) | DISKI VOLA fF.) | DLSK WLS (6:) 
全 局 本 地 磁 熏 C:) | DTSFI YoL2 m:) | 
显示 此 黎 目 的 “最 近 使 用 的 文档 ”(RF |0 | 
理 米 


0 大 洲 


品名 立 了 下台 动 器 C) 
句 斯 有 驱动 区 殊 合用 周一 六 和 装 而 了 
贡院 时 不 将 文件 移入 回忆 站 ， 而 是 和 这 四) 


度量 单位 (V): 


草 枯 和 大 纲 图 中 的 样式 区 窑 格 灾 诺 - 
同 以 字 守 克 度 为 度 时 单 立 IW) 
口 为 HTML 功能 显示 入 素 09 

回 下 全 务 栏 中 显示 所 有 鲁 口 WO) 


[| 

回 号 示 水 天 动 条 四 

回 BF 

回 在 贡 要 届 区 中 显示 委 丰 标尺 (O 

口 针对 白 式 而 不 是 秆 对 可 这 性 优化 字符 位 置 


回 显示 贡 除 确认 对 语 杠 ) 


打印 


se AL ry RVR OR et 


图 3-1 回收 站 属性 图 3-2 修改 最 近 使 用 文档 数 


口 隐藏 文档 内 容 

在 Windows 系统 中 ， 通 过 执行 【开始 】| 【文档 】 命 令 ， 可 以 查看 到 用 户 所 使 用 过 文档 的 
记录 ， 这 使 得 他 人 能 够 非常 轻松 地 浏览 该 用 户 的 工作 文件 或 个 人 文档 。 要 清空 该 列表 ， 需 要 
用 户 执行 【开始 】|【 设 置 】| 【任务 栏 和 [开始 」 菜 单 】 命 令 ， 在 弹出 的 对 话 框 中 切换 到 【[ 开 
始 」 菜单 】 选 项 卡 ， 并 单 击 【 自 定 义 】 按 钮 。 然 后 ， 在 弹出 的 对 话 框 中 单 击 【 清 除 】 按 钮 ， 
如 图 3-3 所 示 。 
口 清除 临时 文件 
Microsoft Word 和 其 他 应 用 程序 通常 会 临时 保存 用 户 的 工作 结果 , 以 防止 意外 情况 造成 损 
失 。 即 使 用 户 没有 保存 正在 处 理 的 文件 ， 许 多 程序 也 会 保存 已 被 删除 、 移 动 和 复制 的 文本 。 
户 应 当 定期 删除 各 种 应 用 程序 在 WINDOWSTEMP 文件 夹 中 存储 的 临时 文件 ， 以 清除 上 述 
这 些 零 散 的 文本 。 另 外 ， 还 应 删除 其 子 目录 (如 FAX 和 WORDXX 目录 ) 中 相应 的 所 有 文件 。 
虽然 很 多 文件 的 扩展 名 为 TMP， 但 它们 其 实 是 完整 的 DOC 文件 、HTML 文件 ， 甚 至 是 图 像 
了 人 

口 清除 网 页 访问 历史 记录 

浏览 器 也 是 需要 保护 的 另 一 重要 部 分 。 目 前 , 大 多 数 用 户 都 使 用 Windows 系列 操作 系统 ， 
Windows 自 带 Internet Explorer 浏览 器 ， 它 会 把 用 户 访问 过 的 所 有 对 象 都 列 出 清单 保存 下 来 ， 
其 中 包括 浏览 过 的 网 页 、 进 行 过 的 查询 以 及 曾 输入 的 数据 等 内 容 。 通 常 ，Internet Explorer 将 
网 页 访问 历史 记录 保存 在 按 周 划分 或 按 网 址 划分 的 文件 夹 中 。 用 户 可 以 单个 地 删除 各 个 “地 
址 (URL)”， 但 最 快 的 方法 是 删除 整个 文件 来， 清除 全 部 历史 记录 ， 其 方法 是 : 在 Intemet 
Explorer 中 ， 执 行 【工具 】|【Intemet 选项 】 命 令 ， 在 打开 的 对 话 框 中 单 击 【 清 除 历史 记录 】 
按钮 。 


Intermet Explorer 会 在 硬盘 中 缓存 用 户 最 近 访 问 过 的 网 页 。 当 用 户 再 次 访问 这 
些 网 页 时 ， 高 速 缓存 信 息 能 够 加 快 网 页 的 访问 速度 ， 但 这 也 向 宇 探 者 揭 开 了 
用 户 的 秘密 。 要 清除 这 些 高 速 缓存 信息 ， 只 需 用 户 在 此 单 击 【 删 除 文件 】 按 
钮 即 可 。 
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程 Int:rnet 页 存储 在 桂 定 的 文科 来 中 ， 这 样 可 以 
习 ES [6 
0 耳 汶 件 加 ] [ 王 本- 
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图 3-3 清除 文档 记录 图 3-4 清除 网 页 历史 记录 


3.3 ”木马 攻击 与 分 析 


木马 攻击 是 黑客 最 常用 的 攻击 方法 。 木 马 的 危害 性 在 于 它 对 计算 机 系统 强大 的 控制 和 破 
坏 能 力 〈 如 窃取 密码 、 控 制 操作 系统 、 进 行文 件 操作 等 )， 一 台 计算 机 一 旦 被 一 个 功能 强大 的 
木马 入 侵 ， 攻 击 者 就 可 以 像 操 作 自己 的 计算 机 一 样 控制 该 计算 机 ， 并 远程 监控 这 台 计算 机 上 
的 所 有 操作 。 


3.3.1 木马 背景 介绍 


“木马 ”一 词 来 自 于 “特洛伊 木马 ”英文 名 称 为 “Trojan horse”。 据 说 该 名 称 来 源 于 古 希 
腊 传 说 ， 特 洛 伊 王子 帕 里 斯 访问 希腊 ， 诱 走 了 王后 海伦 ， 希 腊 人 因此 远征 特洛伊 。 围 攻 9 年 
后 仍 未 攻 下 ， 到 了 第 10 年 ， 希 腊 将 领 奥 德 修 斯 出 此 一 计 ， 就 是 把 一 批 勇士 埋伏 在 一 匹 巨大 的 
木马 腹 内 ， 放 在 城 外 后 ， 大 部 队 则 伴 装 退 兵 。 特 洛 伊人 以 为 希腊 敌 兵 已 退 ， 就 把 木马 作为 战 
利 品 搬入 城中 。 全 城 饮酒 狂欢 ， 到 了 夜间 ， 全 城 军 民 进入 梦乡 ， 而 埋伏 在 木马 中 的 勇士 们 跳 
了 出 来 ， 并 打开 城 门 及 四 处 纵火 ， 城 外 希腊 将 士 一 拥 而 入 ， 部 队 里 应 外 合 ， 攻 下 了 特洛伊 城 
池 。 后 世 称 这 只 大 木马 为 “特洛伊 木马 ”。 后 来 ， 人 们 在 写 文章 时 ， 就 常用 “特洛伊 木马 ”这 
一 典故 用 来 比喻 在 敌 方 营 又 内 埋 下 伏兵 里 应 外 合 的 活动 。 而 黑客 程序 也 借用 其 名 ， 有 “一 经 
潜入 ， 后 患 无 穷 ” 之 意 。 


3.3.2 木马 概述 


木马 是 一 种 可 以 驻 留 在 对 方 服务 器 系统 中 的 一 种 程序 。 木 马 程序 一 般 由 服务 器 端 程序 和 
客户 端 程序 两 部 分 构成 。 驻 留 在 对 方 服务 器 的 称 为 木马 的 服务 器 端 ， 远 程 的 可 以 连接 到 木马 
服务 器 的 程序 称 为 木马 客户 端 。 木 马 的 功能 是 通过 客户 端 可 以 操纵 服务 器 ， 进 而 操纵 对 方 的 
计算 机 。 


目前 木马 入 侵 的 主要 途径 还 是 先 通过 一 定 的 方法 把 木马 执行 文件 发 送 到 被 攻击 者 的 计算 
机 中 ， 利 用 的 途径 有 邮件 附件 、 下 载 软件 等 ， 然 后 通过 一 定 的 提示 故意 误导 被 攻击 者 打开 执 
行程 序 ， 如 故意 谎 称 这 个 木马 执行 文件 ， 是 用 户 朋 友 送 的 贺卡 ， 可 能 打开 这 个 文件 后 ， 确 实 
有 贺卡 的 画面 出 现 ， 但 这 时 木马 可 能 已 经 悄悄 在 计算 机 的 后 台中 运行 。 

一 般 的 木马 执行 文件 非常 小 ， 大 部 分 都 是 几 KB 到 几 十 KB， 如 果 把 木马 捆绑 到 其 他 正常 
文件 上 ， 用 户 将 很 难 发 现 ， 所 以 ， 有 一 些 网 站 提供 的 软件 下 载 往 往 是 捆绑 了 木马 文件 的 ， 用 
户 执行 这 些 下 载 的 文件 ， 同 时 也 运行 了 木马 。 

木马 也 可 以 通过 Seript、ActiveX 及 ASP、CGI 交互 脚本 的 方式 植 入 ， 由 于 微软 的 浏览 器 
在 执行 Script 脚本 时 存在 一 些 漏洞 。 攻击 者 可 以 利用 这 些 漏洞 传播 病毒 和 木马 , 甚至 直接 对 浏 
览 者 的 计算 机 文件 进行 操作 控制 ,如 前 不 久 曾 出 现 一 个 利用 微软 Script 脚本 漏洞 对 浏览 者 硬盘 
进行 格式 化 的 HTML 页 面 。 如 果 攻 击 者 有 办 法 把 木马 执行 文件 下 载 到 攻击 主机 的 一 个 可 执行 
WWW 目录 下 ， 他 可 以 通过 编制 CGI 程序 在 被 攻击 计算 机 上 执行 木马 程序 。 此 外 ， 木 马 还 可 
以 利用 系统 的 一 些 漏洞 进行 植 入 ， 如 微软 著名 的 US 服务 器 溢出 漏洞 ， 通 过 一 个 ISHACK 攻 
击 程序 即 可 使 IS 服务 器 崩溃 ， 并 且 同 时 攻击 服务 器 ， 通 过 执行 远程 木马 来 控制 执行 文件 。 

当 服务 端 程序 在 被 感染 的 机 器 上 成 功 运行 以 后 ， 攻 击 者 就 可 以 使 用 客户 端 与 服务 端 建立 
连接 ， 并 进一步 控制 被 感染 的 机 器 。 在 客户 端 和 服务 端 通信 协议 的 选择 上 ， 绝 大 多 数 木马 使 
用 的 是 TCP/IP 协议 ， 但 是 也 有 一 些 木 马 由 于 特殊 的 原因 ， 使 用 UDP 协议 进行 通信 。 当 服务 
端 在 被 感染 机 器 上 运行 以 后 ， 它 一 方面 尽量 把 自己 隐藏 在 计算 机 的 某 个 角落 里 面 ， 以 防 被 用 
户 发 现 ， 同 时 监听 某 个 特定 的 端口 ， 等 待 客户 端 与 其 连接 ;另外 为 了 使 下 次 用 户 重启 计算 机 
时 仍然 能 正常 工作 。 木 马 程序 一 般 会 通过 修改 注册 表 或 者 其 他 的 方法 让 自己 成 为 自 启动 程序 。 


木马 是 一 种 基于 远程 控制 的 黑客 工具 ， 具 有 隐蔽 性 和 非 授权 性 的 特点 。 隐 项 性 是 指 木马 
的 设计 者 为 了 防止 木马 被 发 现 ， 会 采用 多 种 手段 来 隐藏 木马 ， 这 样 服务 端 即 使 发 现 感 染 了 木 
马 ， 由 于 不 能 确定 其 具体 位 置 ， 也 很 难 消除 。 通 常 包括 如 下 隐藏 方式 。 

口 在 任务 栏 中 隐藏 

这 是 最 基本 的 隐藏 方式 。 如 果 在 Windows 的 任务 栏 里 出 现 一 个 莫名 其 妙 的 图 标 ， 那 么 用 
户 马上 会 明白 是 怎么 回 事 。 因 此 ， 黑 客 会 设法 不 让 此 事 发 生 。 通 过 编程 语言 来 实现 在 任务 栏 
中 的 隐藏 是 很 容易 实现 的 。 以 VB 为 例 , 在 VB 中 ， 只 要 把 from 的 Visible 属性 设置 为 False， 
ShowInTaskBar 设 为 False， 那 么 程序 就 不 会 在 任务 栏 里 出 现 了 。 

口 在 任务 管理 器 中 隐藏 

查看 正在 运行 的 进程 最 简单 的 方法 就 是 按 Ctrl+AlttDel 键 ， 在 打开 的 【任务 管理 器 】 窗 
口中 查看 。 如 果 用 户 可 以 查看 到 一 个 木马 程序 在 运行 ， 那 么 这 肯定 不 是 什么 好 木马 。 因 此 ， 
木马 会 千方百计 地 伪装 自己 ， 使 自己 不 出 现在 任务 管理 器 中 。 木 马 只 要 把 自己 设 为 “系统 服 
务 ” 就 可 以 轻松 地 骗 过 用 户 。 因 此 ， 希 望 通 过 按 Ctrl+Alt+Del 键 发 现 木马 是 不 大 现实 的 。 


口 端口 

一 台 计算 机 有 65536 个 端口 ， 用 户 通常 不 注意 这 么 多 的 端口 ， 但 是 木马 却 很 注意 这 些 端 
口 。 如 果 人 们 稍微 留意 一 下 ， 不 难 发 现 大 多 数 木 马 使 用 的 端口 都 在 1024 以 上 ， 而 且 呈 越 来 越 
大 的 趋势 。 当 然 也 有 占用 1024 以 下 端口 的 木马 ， 但 这 些 端 口 是 常 用 端口 ， 占 用 这 些 端口 可 能 
会 造成 系统 不 正常 ， 这 样 的 话 ， 木 马 就 会 很 容易 暴露 。 也 许 用 户 知道 一 些 木马 占用 的 端口 ， 
或 许 会 经 常 扫描 这 些 端口 , 但 现在 的 木马 都 提供 端口 修改 功能 ,用 户 通常 没有 时 间 扫 描 65536 
个 端口 。 

口 隐藏 通信 

隐藏 通信 也 是 木马 经 常 采用 的 手段 之 一 。 任 何 木马 运行 后 都 要 和 攻击 者 进行 通信 连接 ， 
或 者 即时 连接 (如 攻击 者 通过 客户 端 直接 或 间接 接 入 被 植 入 木马 的 计算 机 ) ， 或 者 通过 间接 
通信 。 如 通过 电子 邮件 的 方式 ， 木 马 把 侵入 主机 的 敏感 信息 发 送 给 攻击 者 。 现 在 大 部 分 木马 
一 般 在 占领 主机 后 会 在 1024 以 上 不 易 发 现 的 高 端口 上 驻 留 有 一 些 木 马 会 选择 一 些 常用 的 端 
口 ， 如 80、23， 有 一 种 非常 先进 的 木马 还 可 以 做 到 在 占领 HTTP 端口 (80) 后 ， 收 到 正常 的 
HTTP 请 求 仍然 把 它 交 于 Web 服务 器 处 理 ， 只 有 收 到 一 些 特殊 约定 的 数据 包 后 ， 才 调用 木马 
程序 。 

口 隐藏 加 载 方式 

木马 加 载 的 方式 可 以 说 千奇百怪 。 但 殊途同归 ， 那 就 是 使 用 户 运 行 木 马 的 服务 端 程序 。 
如 果木 马 不 做 任何 伪装 ， 那 么 用 户 通 常 是 不 会 运行 该 木马 的 。 而 随 着 网 站 互动 性 技术 的 不 断 
进步 ， 越 来 越 多 的 东西 可 以 成 为 木马 的 传播 介质 ，Java Script、VBScript、ActiveX.XLM 等 ， 
几乎 WWW 每 一 个 新 功能 都 会 导致 木马 的 快速 进化 。 

口 最 新 隐身 技术 

这 是 一 种 更 新 、 更 隐蔽 的 方法 。 通 过 修改 虚拟 设备 驱动 程序 “VXD) 或 修改 动态 连接 库 
(DLL) 来 加 载 木马 。 与 一 般 方法 不 同 ， 这 种 方法 基本 上 摆脱 了 原 有 木马 的 工作 模式 一 监听 端 
口 ， 而 采用 替代 系统 功能 的 方法 (改写 VXD 或 DLL 文件 ) ， 木 马 会 将 修改 后 的 DLL 替换 成 
系统 已 知 的 DLL 文件 ， 并 对 所 有 的 函数 调用 进行 过 滤 。 进 行 常用 的 调用 ， 使 用 函数 转发 器 直 
接 转 发 给 被 替换 的 系统 DLL 文件 ， 进 行 一 些 相应 的 操作 。 实 际 上 ， 这 样 的 事先 约定 好 的 特殊 
情况 ，DLL 会 执行 一 般 只 是 使 用 DLL 进行 监听 ， 一 旦 发 现 控制 端的 请 求 就 激活 自身 ， 绑 在 一 
个 进程 上 进行 正常 的 木马 操作 。 这 样 做 的 好 处 是 没有 增加 新 的 文件 ， 不 需要 打开 新 的 端口 ， 
没有 新 的 进程 ， 使 用 常规 的 方法 监测 不 到 它 。 在 往常 运行 时 ， 木 马 几乎 没有 任何 症状 ， 当 木 
马 的 控制 端 向 被 控制 端 发 出 特定 的 信息 后 ， 隐 藏 的 程序 就 立即 开始 运作 。 


实际 上 , 由 于 大 量 木 马 对 DLL 文件 的 使 用 已 经 危害 到 了 Windows 操作 系统 的 
安全 和 稳定 性 ， 微 软 公司 已 经 开始 使 用 DLL 数字 签名 、 校 验 技术 来 加 强 系统 
的 安全 性 ， 因 此 ， 木 马 使 用 DLL 文件 的 时 代 很 快 会 减少 。 取 代 它 的 将 会 是 强 
行 谋 入 代码 技术 ( 插入 DLL、 挂 接 API、 进 程 的 动态 替换 等 )， 但 是 这 种 技术 
对 于 编写 者 的 汇编 功底 要 求 很 高 ， 因 为 涉及 大 量 硬 编码 的 机 器 指令 ， 并 不 是 
一 般 的 木马 编写 者 可 以 涉足 的 。 


另外 ， 非 授权 性 是 指 一 旦 控制 端 与 服务 端 连接 后 ， 控 制 端 将 享有 服务 端的 大 部 分 操作 权 


限 ， 包 括 修改 文件 ， 修 改 注 册 表 ， 控 制 鼠 标 、 键 盘 等 ， 这 些 权力 并 不 是 服务 端 赋予 的 ， 而 是 
通过 木马 程序 窃取 的 。 

木马 除 具 有 隐蔽 性 和 非 授权 特性 之 外 ， 还 包括 如 下 特性 。 

口 具有 自动 运行 性 

木马 为 了 控制 服务 端 ， 必 须 在 系统 启动 时 即 跟随 启动 ， 所 以 它 必 须 潜入 在 计算 机 的 启动 
配置 文件 中 ， 如 win.ini、system.ini、winstartbat 以 及 启动 组 等 。 

口 具有 未 公开 并 且 可 能 产生 危险 后 果 功 能 的 程序 

口 具备 自动 恢复 功能 

现在 很 多 的 木马 程序 中 的 功能 模块 不 再 由 单一 的 文件 组 成 ， 而 是 具有 多 重 备份 ， 可 以 相 
互 恢复 。 当 用 户 删 除了 其 中 的 一 个 ， 以 为 万 事 大 吉 又 运行 其 他 程序 的 时 候 ， 谁 知 它 又 悄然 出 
现 。 所 以 很 难 全 部 消除 。 

口 能 自动 打开 特别 的 端口 

木马 程序 潜入 用 户 的 计算 机 主要 不 是 为 了 破坏 系统 本 身 ， 而 是 为 了 获取 用 户 系统 中 有 用 
的 信息 ， 当 用 户 上 网 时 能 与 远程 客户 进行 通信 ， 这 样 木马 程序 就 会 用 服务 器 客户 端的 通信 手 
段 把 信息 发 送 给 黑客 , 以 便 黑客 们 控制 用 户 的 计算 机 , 或 实施 进一步 的 入 侵 企图 。 根据 TCP/IP 
协议 ， 每 台 计 算 机 可 以 有 256 乘 以 256 个 端口 ， 即 端口 号 范围 为 0~65535， 但 常用 的 只 有 少 
数 几 个 ， 木 马 经 常 利用 那些 不 常用 的 端口 进行 连接 。 

口 功能 的 特殊 性 

通常 的 木马 功能 都 是 十 分 特殊 的 ， 除 了 普通 的 文件 操作 以 外 ， 有 些 木 马 具有 搜索 缓存 
Ccache) 中 的 口令 、 设 置 口令 、 扫 描 目 标 计算 机 的 IP 地 址 、 进 行 键盘 记录 、 远 程 注册 表 的 操 
作 以 及 锁定 鼠标 等 功能 。 


3.3.3 ”木马 的 分 类 


木马 程序 诞生 至 今 ， 已 经 产生 了 多 种 类 型 ， 且 大 多 数 木马 的 功能 不 是 单一 的 ， 而 是 多 种 
功能 的 集合 ， 甚 至 有 些 功 能 从 未 公开 。 因 此 ， 给 木马 程序 进行 分 类 、 了 解 木马 的 危害 对 于 计 
算 机 使 用 者 来 说 是 很 必要 的 。 


远程 控制 木马 是 数量 最 多 ， 和 危害 最 大 ， 同 时 也 是 知名 度 最 高 的 一 种 木马 ， 它 可 以 让 攻击 
者 完全 控制 被 感染 的 计算 机 ， 攻 击 者 可 以 利用 它 完 成 一 些 甚至 连 计 算 机 使 用 者 本 身 都 不 能 顺 
利 进行 的 操作 ， 其 危害 之 大 实在 不 容 小 凯 。 由 于 要 达到 远程 控制 的 目的 ， 该 类 型 木马 往往 集 
成 了 其 他 木马 的 功能 。 使 其 在 被 感染 的 计算 机 上 为 所 欲 为 ， 可 以 任意 访问 文件 ， 得 到 用 户 的 
私人 信息 甚至 包括 信用 卡 ， 银 行 账号 等 至 关 重 要 的 信息 。 

例如 ， 大 名 易 易 的 木马 “冰河 ”就 是 一 个 远程 访问 型 特洛伊 木马 。 这 类 木马 使 用 起 来 非 
常 简 单 。 只 需 有 人 运行 服务 端 ， 攻 击 者 就 可 以 得 到 受害 人 的 了 P 地 址 ， 就 会 访问 到 他 们 的 计算 
机 。 远 程 访问 型 木马 的 普遍 特征 包括 键盘 记录 、 上 传 和 下 载 功能 、 注 册 表 操作 、 限 制 系统 功 
能 等 。 


这 种 远程 控制 也 可 以 用 于 正当 用 途 ， 如 在 学 校 ， 教 师 可 以 用 来 监控 学 生 在 计 
算 机 上 所 进行 的 操作 。 另 外 ， 远 程 访问 型 木马 会 在 目标 计算 机 中 打开 一 个 端 
口 ， 而 且 有 些 木 马 还 可 以 改变 端口 、 设 置 密码 连接 等 ， 其 目的 只 是 为 了 保证 
仅 有 黑客 自己 能 够 控制 该 木马 。 


在 信息 安全 日 益 重要 的 今天 。 密 码 无 疑 是 通 向 重要 信息 的 一 把 极其 有 用 的 钥匙 ， 只 要 掌 
握 了 对 方 的 密码 ， 从 很 大 程度 上 说 ， 就 可 以 无 所 顾忌 地 得 到 对 方 的 很 多 信息 。 而 密码 发 送 型 
木马 正 是 专门 为 了 盗 取 被 感染 计算 机 上 的 密码 而 编写 的 ， 木 马 一 旦 被 执行 ， 就 会 自动 搜索 内 
存 ， 缓 存 〈Cache)， 临 时 文件 夹 以 及 各 种 敏感 密码 文件 ， 一 旦 搜索 到 有 用 的 密码 ， 木 马 就 会 
利用 免费 的 电子 邮件 服务 将 密码 发 送 到 指定 的 邮箱 ， 从 而 达到 获取 密码 的 目的 。 

这 类 木马 大 多 使 用 25 号 端口 发 送 E-mail。 大 多 数 这 类 的 特洛伊 木马 不 会 在 每 次 Windows 
重启 时 启动 。 这 种 特洛伊 木马 的 目的 是 找到 所 有 的 隐藏 密码 并 且 在 受害 者 不 知道 的 情况 下 把 
它们 发 送 到 指定 的 信箱 。 


这 种 特洛伊 木马 是 非常 简单 的 。 它 们 只 做 一 件 事 情 ， 就 是 记录 受害 者 计算 机 的 键盘 敲 击 
动作 并 且 在 LOG 文件 里 查找 密码 。 

另外 ， 这 种 特洛伊 木马 会 随 着 Windows 的 启动 而 启动 。 它 们 有 在 线 和 离线 记录 这 样 的 选 
项 ， 顾 名 思 义 ， 它 们 分 别 记录 用 户 在 线 和 离线 状态 下 敲 击 键盘 时 的 按键 情况 。 也 就 是 说 用 户 
按 过 什么 键 ， 都 会 通过 电子 邮件 将 记录 下 的 信息 发 送 给 相应 的 攻击 者 ， 造 成 用 户 信息 的 泄露 。 


随 着 Dog 攻击 越 来 越 广泛 的 应 用 ， 被 用 作 DoS 攻击 的 木马 也 越 来 越 流行 。 当 攻击 者 入 侵 
了 一 台 计 算 机 ,给 它 种 上 DoS 攻击 木马 ， 那 么 日 后 这 台 计 算 机 就 成 为 攻击 者 进行 Dos 攻击 最 
得 力 的 助手 了 。 攻击 者 控制 的 倪 偶 主机 数量 越 多 ， 它 所 发 动 Dos 攻击 取得 成 功 的 几率 就 越 大 。 
所 以 ， 这 种 木马 的 危害 不 是 体现 在 被 感染 计算 机 上 ， 而 是 体现 在 攻击 者 可 以 利用 它 来 攻击 一 
台 又 一 台 的 计算 机 ， 给 网 络 带 来 很 大 的 伤害 和 损失 。 

还 有 一 种 类 似 Dog 的 木马 叫做 邮件 炸弹 木马 ， 一 旦 计算 机 被 感染 ， 木 马 就 会 随机 生成 各 
种 各 样 主题 的 信件 ， 对 特定 的 邮箱 不 停 地 发 送 邮 件 ， 一 直到 对 方 计 算 机 瘫痪 ， 不 能 接收 邮件 
为 止 。 


黑客 在 入 侵 的 同时 掩盖 自己 的 足迹 ， 谨 防 别 人 发 现 自己 的 身份 是 非常 重要 的 ， 因 此 ， 给 
被 控制 的 倪 候 主机 种 上 代理 森马， 让 其 变 成 攻击 者 发 动 攻击 的 跳板 就 是 代理 木马 最 重要 的 任 
务 。 通 过 代理 木马 ， 攻 击 者 可 以 在 匿名 的 情况 下 使 用 Telnet、ICQ QQ)、IRC 因特网 中 继 
聊天 ) 等 程序 ， 从 而 隐蔽 自己 的 踪迹 。 


这 种 木马 可 能 是 最 简单 和 最 古老 的 木马 了 ， 它 的 唯一 功能 就 是 打开 FTP 端口 (21)， 等 待 
用 户 连 接 。 现 在 新 FTP 木马 还 增加 了 密码 功能 ， 这 样 ， 只 有 攻击 者 本 人 才 知 道 正 确 的 密码 ， 
从 而 进入 对 方 计 算 机 。 


上 面 的 木马 功能 虽然 形形色色 ， 不 过 到 了 对 方 计算 机 上 要 发 挥 自己 的 作用 ， 还 要 通过 防 
木马 软件 检测 这 一 关 才 行 。 常 见 的 防 木 马 软 件 有 Norton Anti-Virus 等 。 程序 杀手 木马 的 功能 就 
是 关闭 对 方 计 算 机 上 运行 的 这 类 防 木马 软件 ， 让 其 他 的 木马 更 好 地 发 挥 作 用 。 


木马 开发 者 在 分 析 了 防火 墙 的 特性 后 发 现 ， 防火 墙 对 于 连 入 的 链接 往往 会 进行 非常 严格 
的 过 滤 ， 但 是 对 于 连 出 的 链接 却 疏 于 防范 。 于 是 ， 与 一 般 的 木马 相反 ， 反 弹 端 口 型 木马 的 服 
务 端 〈 被 控制 端 ) 使 用 主动 端口 ， 客 户 端 (控制 端 》 使 用 被 动 端口 。 木 马 定时 监测 控制 端的 
存在 ， 发 现 控制 端 上 线 立 即 弹出 端口 主动 连接 控制 端 打开 的 主动 端口 。 

为 了 隐蔽 起 见 ， 控 制 端的 被 动 端口 一 般 位 于 80 端口 ， 这 样 ， 即 使 用 户 使 用 端口 扫描 软件 
检查 自己 的 端口 时 ， 会 发 现 类 似 TCP User IP: 1026 Controller IP: 80 ESTABLISHEN 的 情况 ， 
稍微 疏忽 一 点 ， 就 会 以 为 是 自己 在 浏览 网 页 ， 因 为 浏览 器 就 是 使 用 80 端口 ， 如 最 早 的 “网 络 
神偷 (Nethief)” 木 马 等 。 


这 种 木马 唯一 的 功能 就 是 破坏 被 感染 计算 机 的 文件 系统 ， 使 其 遭受 系统 崩溃 或 者 重要 数 
据 丢 失 的 巨大 损失 。 从 这 一 点 上 来 说 ， 它 和 病毒 很 相像 。 不 过 ， 这 种 木马 的 激活 是 由 攻击 者 
控制 的 ， 并 且 传 播 能 力也 比 病毒 逊色 很 多 。 


代理 木马 和 程序 杀手 木马 这 两 种 类 型 的 木马 实际 上 是 其 他 类 型 的 木马 可 能 具 
有 的 功能 ， 如 很 多 远程 访问 型 木马 都 可 以 使 用 代理 服务 器 的 方式 来 连接 被 控 
制 计算 机 ， 而 且 会 首先 检查 对 方 是 不 是 开启 了 防火 墙 ， 如 果 有 ， 则 关闭 防火 
墙 进程 ， 这 样 有 利于 黑客 隐藏 身份 ， 从 而 实现 远程 控制 。 


3.3.4 网 等 心得 一 一 市 马 蜀 发 姑 


木马 也 叫 黑客 程序 或 后 门 病毒 ， 属 于 文件 型 病毒 的 一 种 。 随 着 计算 机 网 络 技术 的 发 展 ， 
黑客 技术 也 在 不 断 进步 ， 为 了 更 好 地 实现 攻击 目的 ， 攻 击 者 所 编制 的 木马 程序 功能 也 更 加 强 
大 ， 由 木马 的 特点 及 其 危害 性 就 可 以 得 出 木马 的 发 展 阶段 。 


这 种 病毒 通过 伪装 成 一 个 合法 性 程序 来 诱骗 用 户 上 当 。 例 如 ， 世 界 上 第 一 个 计算 机 木马 
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是 在 1986 年 出 现 的 PC-Write 木马 ， 它 可 以 伪装 成 共享 软件 PC-Write 的 2.72 版 本 (事实 上 ， 
编写 PC-Write 的 Quicksoft 公司 从 未 发 行 过 2.72 版 本 )， 一 旦 用 户 信 以 为 真 运行 该 木马 程序 ， 
那么 他 的 计算 机 硬盘 就 被 格式 化 。 

另外 ,还 有 一 种 伪装 登录 界面 的 木马 程序 ， 当 用 户 将 自己 的 用 户 ID 和 密码 输入 一 个 和 正 
常 的 登录 界面 一 模 一 样 的 伪 登 录 界 面 之 后 ， 木 马 程序 一 方面 会 保存 该 用 户 的 ID 和 密码 ， 另 一 
方面 会 提示 用 户 密 码 错误 ， 令 用 户 重新 输入 登录 名 和 密码 ， 当 用 户 第 二 次 登录 时 ， 就 已 经 成 © 
为 木马 的 牺牲 品 。 此 时 的 第 一 代 木 马 还 不 具备 传染 特征 。 


@ 第 2 代 木 马 一 一 AIDS 型 木马 n 


继 PC-Write 之 后 , 1989 年 出 现 了 AIDS 木马 。 由 于 当时 很 少 有 人 使 用 电子 邮件 ,所 以 AIDS 
的 作者 就 利用 现实 生活 中 的 邮件 进行 散播 ， 即 给 其 他 人 寄 去 一 封 封 含有 木马 程序 软盘 的 邮件 。 
之 所 以 叫 这 个 名 称 是 因为 软盘 中 包含 有 AIDS 和 HIV 疾病 的 药品 、 价 格 、 预 防 措施 等 相关 信 
息 。 软 盘 中 的 木马 程序 在 被 用 户 运行 后 ， 虽 然 不 会 破坏 数据 ， 但 会 将 硬盘 加 密 锁 死 ， 然 后 提 
示 受 感染 用 户 花 钱 解决 该 问题 。 可 以 说 第 2 代 木 马 已 具备 传播 特征 〈 尽 管 通过 传统 的 邮递 
persed 


站 3. 第 3 代 木 马 一 -网络 传播 型 木马 


随 着 Internet 的 普及 ， 第 3 代 木 马 不 仅 兼备 伪装 和 传播 两 种 特征 ， 而 且 还 结合 TCP/IP 网 
络 技术 四 处 泛滥 。 同 时 第 3 代 木 马 还 有 如 下 新 的 特征 。 

口 添加 了 “后 门 ”功能 

后 门 就 是 一 种 可 以 为 计算 机 系统 秘密 开启 访问 入 口 的 程序 。 一 旦 被 安装 ， 这 些 程序 就 能 
够 使 攻击 者 绕 过 安全 程序 进入 系统 。 该 功能 的 目的 就 是 收集 系统 中 的 重要 信息 ， 例 如 ， 财 务 
报告 、 口 令 及 信用 卡号 等 。 此 外 ， 攻 击 者 还 可 以 利用 后 门 控制 系统 ， 使 之 成 为 攻击 其 他 计算 
机 的 帮凶 。 由 于 后 门 是 隐藏 在 系统 背后 运行 的 ， 因 此 很 难 被 检测 到 。 它 们 不 像 病毒 和 蠕虫 那 
样 通过 消耗 内 存 而 引起 注意 。 

口 添加 了 击 键 记录 功能 

该 功能 主要 是 记录 用 户 所 有 的 击 键 内 容 然 后 形成 击 键 记录 的 日 志文 件 发 送 给 恶意 用 户 。 
恶意 用 户 可 以 从 中 找到 用 户 名 、 口 令 以 及 信用 卡号 等 用 户 信 息 。 这 一 代 木 马 比 较 有 名 的 有 国 
外 的 BO2000 (Back Orifice) 和 国内 的 冰河 森马。 它们 有 如 下 共同 特点 : 基于 网 络 的 客户 端 / 
服务 器 应 用 程序 。 具 有 搜集 信息 、 执 行 系统 命令 、 重 新 设置 机 器 、 重 新 定向 等 功能 。 当 木马 
程序 攻击 得 手 后 ， 计 算 机 就 完全 成 为 黑客 控制 的 倪 偶 主机 ， 黑 客 成 了 超级 用 户 ， 用 户 的 所 有 
计算 机 操作 不 但 没有 任何 秘密 而 言 ， 而 且 黑 客 可 以 远程 控制 倪 偶 主机 对 其 他 主机 发 动 攻击 ， 
这 时 候 被 俘获 的 倪 偶 主机 成 了 黑客 进行 进一步 攻击 的 挡 箭 牌 和 跳板 。 


3.4 木马 的 攻击 防护 技术 


只 要 感染 木马 ， 就 有 可 能 遭 到 破坏 。 遭 到 破坏 的 类 型 包括 系统 瘫痪 、 数 据 被 窃取 等 ， 木 
马 成 为 入 侵 者 手中 的 杀手 铜 ， 然 而 接 吧 而 至 的 杀毒 软件 使 得 木马 毫 无 藏身 之 地 。 


木马 被 杀毒 软件 的 查 杀 使 得 入 侵 者 不 敢 再 轻易 地 使 用 这 些 程序 ， 这 对 于 管理 员 来 说 是 好 
事 ， 但 对 于 入 侵 者 是 一 件 坏事 ， 面 对 杀毒 软件 ， 入 侵 者 并 不 是 毫 无 办 法 ， 他 们 可 以 通过 对 木 
马 进 行 修改 ， 使 之 逃 过 杀毒 软件 的 查 杀 。 因 此 ， 并 不 是 经 过 杀毒 软件 扫描 的 程序 就 一 定 不 是 
木马 。 


3.4.1 常见 木马 的 应 用 


木马 在 真正 的 黑客 看 来 只 是 一 种 初级 的 工具 ， 往 往 不 层 于 使 用 ， 而 对 于 一 些 初级 黑客 、 
甚至 是 不 算 黑 客 的 “黑客 ”来 讲 ， 却 是 最 好 的 攻击 别人 、 获 取 密 码 的 工具 ， 因 为 ， 这 种 黑客 
工具 对 普通 用 户 的 危害 极 大 。 

常见 的 简单 的 木马 有 早期 的 NetBus 远程 控制 “冰河 ”木马 、PCAnyWhere 远程 控制 及 近 
期 的 灰 铅 子 等 。 其 中 ， 冰 河 可 以 说 是 最 优秀 的 国产 木马 程序 之 一 ， 同 时 也 是 被 使 用 最 多 的 一 
种 木马 。 

本 节 就 以 “冰河 V8.4” 为 例 ， 介 绍 “ 冰 河 ” 木 马 的 使 用 方法 。“ 冰 河 ” 木 马 包括 两 个 程序 
文件 ， 一 个 是 服务 器 端 程序 ， 一 个 是 客户 端 程序 ， 3-5 所 示 为 “冰河 V8.4” 的 文件 列表 
内 容 。 

在 “冰河 V8.4” 木 马 文件 列表 中 ，G_SERVER.exe 文件 是 服务 器 端 程序 ， 即 被 监控 端 后 
台 监 控 程 序 〈 运 行 一 次 即 自动 安装 ， 可 任意 改名 ); G_CLIENT.exe 文件 是 客户 端 程序 ， 即 监 
控 端 执行 程序 ， 用 于 监控 远程 计算 机 和 配置 服务 器 程序 。 将 G_SERVER.exe 文件 在 远程 计算 
机 上 执行 后 ， 通 过 G_CLIENT.exe 文件 就 可 以 来 控制 远程 服务 器 。 

要 使 用 “冰河 ”木马 ， 首 先 需要 用 户 通 过 客户 端 对 服务 器 端 进行 配置 ， 运 行 客 户 端 
G_CLIENT.exe 程序 ， 在 打开 的 客户 端 主 界面 中 ， 单 击 【 设 置 】 菜 单 ， 并 执行 【配置 服务 嚣 程 
序 】 命 令 ， 如 图 3-6 所 示 。 


文件 和 诈 类 作答 由 ey Er 
了 一 人 新 六 人 | 
Ml | [mm Rn 
局 #i 


3-5 “冰河 V8.4” 的 文件 列表 3-6 “冰河 ”客户 端 主 界面 


7620 端口 是 冰河 木马 默认 打开 的 端口 , 黑客 在 设置 时 有 时 也 会 修改 这 个 端口 。 
另外 ， 其 他 木马 可 能 是 使 用 其 他 端口 ， 扫 描 时 需 扫 描 相应 端口 。 


在 【服务 器 配置 】 窗 口中 ， 首 先 单 击 【 浏 览 】 按 钮 选择 待 配置 文件 ， 然 后 设置 服务 器 端 


的 安装 路 径 ， 更 改 服务 器 端 文 件 名 ， 设 置 访问 口令 、 进 程 名 称 、 监 听 端 口 等 内 容 ， 如 图 3-7 
所 示 。 


用 户 可 以 根据 自己 的 需要 在 【提示 信息 】〗 文 本 框 中 输入 一 些 信 息 。 例 如 ， 苏 
意 欺 骗 对 方 该 程序 为 错误 程序 时 ， 就 可 以 输入 “程序 出 错 ， 缺 少 必须 的 .dll 文 
件 ! ”等 信息 。 


选择 【自我 保护 】 选 项 卡 ， 在 该 选项 卡 页 面 ， 可 以 设置 是 否 写 入 注册 表 的 启动 项 ， 以 便 
冰河 在 开机 时 自动 加 载 以 及 是 否 关 联 文件 ， 以 便 被 删除 后 再 打开 相关 文件 时 自动 恢复 ,图 3-8 
所 示 为 默认 设置 。 


所 关联 关联 到 :TrtFil。 二 | 关联 女 作 名: ESETPIRE 


图 3-7 基本 设置 图 3-8 自我 保护 


选择 【邮件 通知 】 选 项 卡 ， 在 该 选项 卡 页 面 ， 可 以 设置 将 对 方 计算 机 系统 信息 、 开 机 口 
令 、 共 享 资源 信息 等 发 送 到 指定 邮箱 ， 设 置 完成 后 ， 单 击 【 确 定 】 按 钮 即 可 ， 如 图 3-9 所 示 。 

服务 器 端 设置 完成 之 后 ， 就 可 以 将 这 个 新 配置 的 程序 即 G_ SERVER.exe 发 送 给 对 方 计算 
机 ， 并 诱骗 对 方 运行 ， 当 用 户 运行 之 后 ， 攻 击 者 即 可 实施 远程 控制 计划 。 


在 开始 使 用 冰河 之 前 ,可 以 利用 冰河 客户 端 自 带 的 扫描 功能 扫描 开放 了 7626 端口 的 主机 。 
单 击 【 文 件 】 菜 单 并 执行 【自动 搜索 】 命 令 , 或 者 单 击 工具 栏 中 的 【自动 搜索 】 野 按钮， 如 
图 3-10 所 示 。 


图 3-9 邮件 通知 图 3-10 自动 搜索 


在 弹出 的 【搜索 计算 机 】 窗 口中 ， 用 户 可 以 设置 起 始 域 地 址 、 终 止 地 址 数 等 信息 ， 如 设 
置 起 始 域 为 “192.168.0”， 并 单 击 【开始 搜索 】 按 钮 ， 即 可 在 【搜索 结果 】 列 表 中 查看 搜索 到 
的 计算 机 ， 如 图 3-11 所 示 。 


“冰河 ”木马 自 带 的 搜索 功能 会 使 计算 机 运行 速度 变 慢 ， 功 能 也 较 弱 ， 用 户 可 
以 使 用 专用 的 扫描 工具 (如 X-way 等 ) 来 扫描 开放 了 7626 端口 的 计算 机 。 


当 使 用 “冰河 ”扫描 出 开放 了 7626 端口 的 计算 机 后 ， 就 可 以 对 该 计算 机 进行 远程 控制 。 
首先 ， 运 行 “ 冰 河 ” 客 户 端 程序 ， 单 击 【 文 件 】 菜 单 并 执行 【添加 主机 】 命 令 ， 或 是 单 
击 工具 栏 中 的 蝇 按 钮 ， 如 图 3-12 所 示 。 


多 搜索 计算 机 


图 3-11 搜索 计算 机 图 3-12 添加 主机 


在 弹出 的 对 话 框 中 ， 输 入 搜索 到 的 计算 机 人 P 地 址 ， 单 击 【 确 定 】 按 钮 ， 如 图 3-13 所 示 。 
如 果 出 现 “ 无 法 与 主机 连接 ”、“ 口 令 有 误 ” 等 提示 信息 就 放弃 ,初始 密码 应 该 为 空 ， 如 果 出 
现 “ 口 令 有 误 ” 则 表明 该 计算 机 已 经 被 其 他 人 完全 控制 。 

当 连 接 成 功 后 ， 在 “冰河 ”木马 主 界面 中 ， 展 开 搜索 到 的 他 地址 节点 ， 如 192.168.0.5， 
并 选择 打开 “C: ”， 此 时 ， 可 以 查看 到 许多 文件 来， 如 图 3-14 所 示 ， 此 时 表明 已 经 成 功 入 侵 
对 方 计算 机 。 
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nan em | 
ee | 


Ee 


监听 靖 口 
en >xa 
3-13 ”输入 计算 机 卫 地 址 3-14 查看 对 方 计 算 机 文件 


在 文件 管理 区 ， 攻 击 者 可 以 对 文件 、 程 序 等 进行 上 传 、 下 载 、 删 除 、 远 程 打开 等 多 项 操 
作 ， 如 要 这 样 做 ， 只 需要 右 击 文件 或 程序 并 执行 相应 的 命令 即 可 ， 如 图 3-15 所 示 。 

接 下 来 ， 还 可 以 进行 其 他 操作 ， 如 选择 【命令 控制 台 】 选 项 卡 ， 在 该 页 面 ， 展 开 【 口 令 
类 命令 】 节 点 ， 并 选择 【系统 信息 及 口令 】 选 项 ， 则 在 右 侧 窗 格 中 就 可 以 查看 到 对 方 计 算 机 
的 系统 信息 ， 如 图 3-16 所 示 。 当 然 ， 还 可 以 选择 其 他 选项 ， 并 进行 与 之 相对 应 的 操作 。 
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图 3-15 ”下 载 文件 图 3-16 查看 系统 信息 


另外 ， 木 马 程序 在 国内 外 有 多 种 ， 原 理 和 功能 基本 上 与 “冰河 ”相似 ， 只 是 可 能 有 的 功 
能 比较 强大 ， 有 的 功能 比较 简单 而 已 。 但 由 于 目前 杀毒 软件 基本 可 以 查 杀 大 多 数 著名 的 木马 
程序 ， 因 此 知名 的 木马 程序 一 般 不 适合 用 作 网 络 后 门 程序 。 


3.4.2 ”木马 的 加 壳 与 脱 壳 


给 程序 加 壳 ， 包 括 加 密 壳 和 压缩 壳 两 种 方法 。 程 序 一 旦 被 加 壳 保 护 后 ， 如 果 不 使 用 与 此 
相应 的 脱 壳 软 件 进行 脱 壳 处 理 ， 那 么 一 些 反 汇编 程序 是 不 能 正确 读 取 到 其 真正 的 代码 的 。 这 
样 ， 就 能 保护 程序 不 会 被 破解 。 同 样 ， 木 马 程序 一 旦 经 过 加 壳 保 护 ， 反 病毒 软件 如 果 不 具 有 
该 程序 脱 壳 的 功能 ， 那 么 就 不 可 能 识别 出 它 ， 因 此 可 以 说 木马 加 壳 达 到 了 隐藏 自身 的 目的 。 

脱 壳 是 与 加 壳 相 反 的 过 程 ， 目 的 是 把 加 壳 后 的 程序 恢复 成 毫 无 包装 的 可 执行 代码 ， 这 样 
未 授权 者 便 可 对 其 进行 修改 。 脱 壳 的 过 程 与 加 壳 的 操作 类 似 ， 但 是 对 于 不 同 的 加 壳 软 件 ， 需 
要 使 用 不 同 的 脱 壳 软件 。 入 侵 者 只 要 知道 目标 程序 使 用 的 是 哪 种 加 壳 软 件 进行 加 壳 的 ， 然 后 ， 
在 使 用 对 应 的 脱 壳 软 件 进行 脱 壳 处 理 即 可 。 简 单 地 说 加 壳 与 脱 壳 就 相当 于 加 密 和 解密 。 

目前 ， 通 过 Aspack 或 UPX 给 木马 加 壳 是 非常 容易 的 。 例 如 ， 灰 鸽子 远程 控制 软件 本 身 
就 具有 UPX 加 壳 功 能 。 但 是 ， 这 些 常 见 的 加 壳 软 件 的 加 壳 方 式 已 经 被 杀毒 软件 研究 透彻 ， 加 
上 一 些 杀毒 软件 〈 如 卡巴 斯 基 ) 已 经 具有 对 常见 木马 的 脱 壳 功 能 。 因 此 ， 一 些 攻击 者 通常 会 
使 用 一 些 不 常用 的 加 壳 软 件 来 对 木马 程序 进行 加 壳 处 理 。 这 些 不 常用 的 加 壳 软 件 ， 一 般 都 会 
在 一 些 国 外 的 安全 类 网 站 当中 找到 ， 其 中 比较 常用 的 有 Private exe Protector 软件 ， 它 原本 是 
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一 个 非常 好 用 的 程序 保护 软件 ， 但 同样 也 可 以 用 来 保护 木马 。 而 且 ， 对 木马 进行 加 这， 往往 
还 会 加 多 重 壳 ， 以 进一步 增加 被 人 们 识别 出 来 的 难度 ,但 加 多 重 过 要 比 加 单一 的 壳 要 复杂 
得 多 。 

程序 加 壳 只 是 对 木马 的 程序 文件 进行 了 保护 而 已 ， 且 有 时 加 壳 会 损坏 木马 的 一 些 功能 ， 
而 且 ， 单独 使 用 加 壳 保护 木马 是 达 不 到 理想 的 保护 效果 的 。 因 此 ， 攻 击 者 在 对 木马 加 这 保护 
之 前 ， 还 会 对 它 使 用 如 程序 加 密 之 类 的 处 理工 作 。 

由 于 对 木马 进行 加 这 保护 只 对 木马 文件 有 效 ， 因 此 ， 对 于 已 经 加 载 到 内 存 中 的 木马 程序 
段 ， 木 马 在 运行 时 已 经 自动 进行 脱 壳 处 理 ， 也 就 失去 了 保护 作用 ， 这 样 就 可 以 通过 使 用 对 内 
存 进行 检测 的 方式 来 查 杀 木马 。 

目前 ， 已 经 有 许多 杀毒 软件 具有 了 内 存 查 杀 的 功能 ， 如 瑞星 等 。 但 是 ， 一 些 木 马 的 程序 
在 加 载 到 内 存 之 前 ， 会 先 被 它 的 壳 所 控制 ， 而 这 些 壳 会 通过 一 些 手段 来 终止 用 户 系统 中 所 运 
行 的 安全 软件 的 进程 ， 然 后 再 完全 将 木马 程序 加 载 到 内 存 中 运行 ， 这 样 就 能 躲避 被 内 存 查 杀 
的 危险 。 此 时 ， 就 只 能 靠 用 户 自己 使 用 一 些 脱 过 软件 来 对 系统 中 可 疑 的 文件 进行 查 这 和 脱 壳 
处 理 后 再 查 杀 。 


PEID 和 PESCAN 是 两 个 常用 的 查看 程序 加 这 情况 的 软件 ， 对 于 普通 的 用 户 ， 
使 用 超级 巡警 虚拟 自动 脱 壳 机 就 能 够 很 好 地 解决 这 些 问题 。 同 样 ， 使 用 主动 
防御 功能 的 安全 软件 也 可 以 检测 到 这 种 类 型 的 木马 。 


木马 程序 具有 不 需要 服务 端 用 户 的 允许 即 可 获得 系统 的 使 用 权 ， 同 时 具有 体积 小 、 易 在 
网 络 上 传播 、 运 行 隐蔽 不 易 被 用 户 察觉 的 特征 。 但 它 还 是 会 表现 出 如 下 一 些 症状 。 

口 计算 机 反应 速度 明显 降低 。 

口 硬盘 在 不 停 地 读 / 写 。 

口 鼠标 和 键盘 使 用 不 灵 。 

口 窗口 关闭 或 打开 。 

口 网 络 传输 指示 灯 一 直 在 闪烁 。 

为 了 避免 木马 的 危害 ， 人 们 也 在 不 断 地 研究 防范 措施 ， 目 前 ， 对 于 木马 的 安全 解决 方案 
主要 包括 如 下 几 个 方面 。 


站 不 安装 反 病 毒 软件 

用 户 在 上 网 时 应 该 时 刻 打开 杀毒 软件 ， 目 前 大 多 数 反 病 毒 工具 软件 几乎 都 可 以 检测 到 所 
有 的 特洛伊 木马 ， 但 用 户 需要 注意 及 时 更 新 反 病 毒 软件 。 

2 安装 木马 专 杀 软件 


反 病 毒 软件 虽然 能 够 检测 出 木马 ， 但 却 不 能 将 其 从 计算 机 中 删除 。 因 此 ， 还 需要 用 户 安 
装 诸如 TROJIAREMOVER 之 类 的 软件 ， 将 木马 删除 。 
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网 络 攻击 与 防范 


3. 安装 个 人 防火 墙 一 


如 果 计 算 机 中 安装 了 个 人 防火 墙 ， 那 么 当 木马 进入 计算 机 时 ， 防 火 墙 可 以 起 到 有 效 的 保 
护 作用 。 


(4. 安装 系统 补 了 ] 


用 户 应 该 经 常安 装 系统 补丁 ， 这 样 可 以 减少 因 系统 漏洞 带 来 的 安全 隐患 。 
[5 加 强 个 人 网 络 安全 保护 意识 ]] 


不 要 执行 来 历 不 明 的 软件 和 程序 。 木 马 的 服务 端 程序 只 有 在 被 执行 后 才 会 生效 。 通 过 网 
络 下 载 的 文件 ，QQ 或 MSN 传输 的 文件 ， 以 及 从 他 人 那 复制 的 文件 ， 对 电子 邮件 附件 在 没有 
十 足 把 握 的 情况 下 ， 千 万 不 能 将 它 打 开 。 最 好 在 运行 这 些 软件 和 程序 之 前 ， 使 用 反 病 毒 软件 
对 其 进行 安全 检查 。 


站 6. 设置 文件 扩展 名 状态 ~ 


文件 扩展 名 是 文件 格式 和 功能 的 代表 ， 通 过 文件 扩展 名 ， 用 户 一 眼 就 能 识别 出 该 文件 的 
真正 身份 ， 例 如 ，exe 代表 可 执行 文件 ，txt 代表 文本 文件 ，html 代表 网 页 文件 等 。 知 道 了 文 
件 的 扩展 名 ， 再 查看 文件 的 图 标 ， 如 果 它 们 之 间 的 对 应 不 一 致 ( 如 文件 扩展 名 是 exe， 但 却 使 
用 了 txt 的 图 标 ) 那么 就 说 明 这 个 文件 经 过 了 别人 的 修改 ， 这 样 的 文件 大 多 是 木马 程序 。 

但 在 Windows 系统 中 ， 默 认 并 不 显示 文件 扩展 名 ， 因 此 需要 用 户 修改 文件 扩展 名 状态 ， 
其 修改 方法 如 下 : 

双击 【我 的 电脑 】 图 标 ， 在 打开 的 【我 的 电脑 】 窗 口中 ， 单 击 【工具 】 菜 单 ， 并 执行 【 文 
件 夹 选项 】 命 令 ， 如 图 3-17 所 示 。 

在 【文件 夹 选项 】 对 话 框 中 切换 到 【查看 】 选 项 卡 ， 在 【高 级 设置 】 列 表 中 禁用 【隐藏 
已 知 文件 类 型 的 扩展 名 】 复 选 框 ， 如 图 3-18 所 示 ， 这 样 用 户 可 以 很 容易 地 查看 到 文件 的 扩 
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图 3-17 【我 的 电脑 】 窗 口 3-18 ”文件 夹 选 项 
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3.5 ”操作 实例 


3.5.] 护 放 完全 


司 终 入 息 涅 海 


网 络 信息 搜集 主要 表现 在 撒 取 网 络 信息 ， 并 尽 可 能 撒 取 最 为 详细 且 重 要 的 网 络 协议 信息 。 
搬 取 的 信息 能 够 帮助 用 户 更 清楚 地 认识 网 络 布局 。 而 通过 Wireshark 这 款 软件 就 可 以 搜集 这 些 
网 络 信息 。 


@ 1. 实例 目的 中 


口 监听 网 络 数据 。 
口 筛选 网 络 信息 。 


人 2 实例 步 台 ) 


(1) 在 桌面 右 击 安装 完成 后 的 Wireshark 应 用 程序 图 标 ， 并 执行 【打开 】 命 令 ， 在 软件 主 
界面 ， 单 击 Expression 按钮 ， 如 图 3-19 所 示 。 


单 击 Expression 按钮 ， 可 以 看 到 该 软件 所 支持 的 协议 ， 如 IP、TCP、 | 
SSH 等 。 


(2) 在 返回 到 该 软件 主 界面 以 后 ， 单 击 工具 栏 中 的 第 1 个 按钮 恕 ， 如 图 3-20 所 示 。 
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图 3-19 ”Wireshark 主 界面 图 3-20 ”Wrieshark 主 界面 


最 上 面 的 菜单 栏 中 文 意思 分 别 是 : File (文件 )，Edit (编辑 )，View (查看 )， 
Go ( 转 到 )，Capture ( 捕获 )，Analyze ( 分 析 )，Statistics ( 统计 )，telephony 
(手动 )，tools (工具 )，Help (帮助 )。 


(3) 在 弹出 的 窗口 中 ， 单 击 他 地 址 192.168.0.15 这 一 行 的 第 二 个 按钮 Options， 如 图 3-21 
所 示 。 

(4) 在 Wireshark: Capture Options 窗口 中 的 Interface 下 拉 列 表 框 中 选择 “local”( 本地) 
选项 , 在 “local” 后 面 选择 本 机 使 用 的 网 卡 , 如 “Realtek RTL8139 Family Fast Ethemet Adapter ”， 
如 图 3-22 所 示 。 


ee 人 = TIR138 Fanily Tast es 


图 3-21 选 所 要 监听 的 网 卡 图 3-22 设置 本 地 网 卡 
(5) 在 过 滤器 Capture Filter 文本 框 内 ， 输 入 ICMP， 并 单 击 Start 按钮 ， 如 图 3-23 所 示 。 


在 Capture Filter 文本 框 内 输入 ICMP 是 指 通过 该 软件 仅 抓 取 ICMP 包 。 用 户 
也 可 以 在 此 输入 其 他 类 型 的 协议 名 称 (如 TCP、UDP 等 ) 以 抓 取 相应 的 数据 
包 。 但 在 默认 未 设置 情况 下 ， 该 软件 会 抓 取 它 所 支持 协议 类 型 的 所 有 数据 包 。 


(6) 在 主 窗口 中 ， 可 以 查看 到 该 软件 当前 所 捕获 的 ICMP 数据 包 ， 单 击 工具 栏 中 的 第 4 
个 按钮 名 (从 左 至 右 )， 并 双击 该 软件 所 捕获 到 的 第 1 个 ICMP“Request” 请 求 数据 包 ， 如 图 
3-24 所 示 。 
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图 3-23 过滤 的 ICMP 协议 3-24 ”关闭 监听 并 停止 抓 取 数据 包 


第 4 个 按钮 的 (从 左 至 右 ) 作用 是 关闭 监听 ， 如 果 用 户 不 关闭 监听 ， 那 么 此 
软件 就 会 一 直 进 行 抓 包 。 


(7) 在 打开 的 窗口 中 ， 可 以 查看 到 该 ICMP“Request” 请 求 数 据 包 的 详细 内 容 ， 如 图 3-25 
所 示 


(8) 双击 该 软件 所 捕获 到 的 第 2 个 ICMP“Reply” 请 求 数据 包 ， 在 打开 的 窗口 中 ， 可 以 
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查看 到 该 数据 包 的 详细 内 容 ， 如 图 3-26 所 示 。 
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图 3-25 ICMP“Request” 请 求 数据 包 详 细 信 息 图 3-26 ICMP“Reply” 回 应 数据 包 详细 信息 


仔细 观察 “Request” 请 求 数据 包 ,“Reply” 回 应 数据 包 , 可 以 清楚 地 发 现 ICMP 
报 文 的 格式 及 相关 的 网 络 信息 ， 如 源 下 地 址 、 目 标 瑟 地 址 和 MAC 地 址 。 


3.5.2 得 市 袍 促 一 一 捕 口 扫 答 


SupeScan 通过 TCP 或 UDP 方式 ， 扫 描 计算 机 ， 探 测 开 放 端 口 ， 搜 集 计算 机 信息 ， 检 测 
安全 性 弱点 。 


CE 


口 设置 扫描 选项 。 
口 填写 扫描 参数 。 
口 查看 扫描 结果 。 


(1) 在 桌面 双击 “superscanv4 0 rhc” 应 用 程序 图 标 ， 如 图 3-27 所 示 。 
(2) 在 SuperScan 4.0 窗口 中 ， 选 择 【 主 机 和 服务 扫描 设置 】 选 项 卡 ， 如 图 3-28 所 示 。 
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3-28 ”SuperScan 4.0 窗口 
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(3) 在 【TCP 端口 扫描 】 区 域内 ， 选 中 【直接 连接 】 单 选 按钮 ， 选 择 【 扫 描 】 选 项 卡 ， 
如 图 3-29 所 示 。 

(4) 在 【扫描 】 选 项 卡 页 面 的 【主机 名 / 耳 】 文 本 框 中 输入 瑟 地 址 ， 如 “192.168.0.253 ”， 
并 单 击 右 侧 按钮 ， 添 加 卫 地 址 。 然 后 ， 单 击 【开始 】 按 钮 ， 如 图 3-30 所 示 。 
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图 3-29 主机 和 服务 扫描 设置 窗口 图 3-30 ”添加 扫描 地 址 


(5) 扫描 完成 后 ， 单 击 【查看 HIML 结果 】 按 钮 ， 即 可 查看 端口 扫描 结果 ， 如 图 3-31 
所 示 。 


3.5.3 揭 币 完全 一 一 若 于 认证 切入 虹 芒 范 


随 着 计算 机 技术 的 飞速 发 展 ， 计 算 机 信息 安全 问题 备 受 关注 。 在 网 络 中 ， 通 信 双 方 之 间 
建立 加 密 的 会 话 连接 能 有 效 防范 入 侵 。 这 样 ， 即 使 黑客 成 功 地 进行 了 网 络 嗅 探 ， 但 由 于 捕获 
的 都 是 密 文 ， 因 而 毫 无 价值 。 网 络 中 进行 会 话 加 密 的 手段 有 很 多 ， 可 以 通过 各 种 认证 来 防范 
黑客 的 入 侵 ， 这 样 就 保证 信息 的 安全 性 。 


1. 实例 目的 ) 

口 捕获 网 络 流量 。 

口 提取 重要 安全 信息 。 

口 基于 安全 信息 的 入 侵 。 

口 通过 认证 防范 入 侵 。 

C 2. 实例 步骤 中 

(1) 在 桌面 单 击 【 开 始 】 菜 单 ， 执 行 【 程 序 】| SnifferPro | Sniffer 命令 ， 在 弹出 的 对 话 框 


中 ， 选 择 Realtek RTL8139 Family PCI Fast Ethemet Adapter 选项 ， 并 单 击 【确定 】 按 钮 ， 如 图 
3-32 所 示 。 
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图 3-31 查看 扫描 结果 图 3-32 【当前 设置 】 对 话 框 


从 图 3-32 可 以 看 出 计算 机 所 使 用 的 网 卡 是 Realtek RTL8139 Fast Ethermet 
Adapter ( 煜 昱 快速 以 太 网 网 卡 ) 因为 本 计算 机 装 了 Vmware 虚拟 机 ， 所 以 下 
面 的 两 块 是 Vmware 的 虚拟 网 卡 。 


(2) 在 该 软件 主 界面 中 ， 单 击 菜单 栏 中 的 【监视 器 】 菜 单 ， 并 执行 【定义 过 滤器 】 命 令 ， 
如 图 3-33 所 示 。 

(3) 在 【定义 过 滤器 一 监视 器 】 窗 口中 ， 选 择 【 地 址 】 选 项 卡 ， 在 【地 址 类 型 】 下 拉 列 
表 框 中 选择 人 P 选项 ， 如 图 3-34 所 示 。 


定义 过 涉 委 -监视 雪 


图 3-33 【监视 器 】 菜 单 图 3-34 选择 IP 选 项 


(4) 在 该 对 话 框 中 的 【位 置 1】 文本 框 第 1、2 栏 内 分 别 输入 卫 地 址 192.168.0.15 和 
123.125.50.22， 同 样 在 【位 置 2】 文本 框 内 分 别 输入 了 P 地 址 ， 如 图 3-35 所 示 。 
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过 滤 源 下 地 址 192.168.0.15 到 目的 瑟 地 址 123.125.50.22 所 有 数据 包 。 (位置 
1 为 源 四 地 址 ， 位 置 2 为 目的 人 地 址 ，123.125.50.22 是 163 邮箱 的 IP。) 


(5) 在 【定义 过 滤器 一 监视 器 】 窗 口中 ， 选 择 【 高 级 】 选 项 卡 ， 依 次 展开 【可 用 到 的 协 
议 】| ip 节点 ， 并 启用 TCP 复 选 框 ， 之 后 单 击 【 确 定 】 按 钮 ， 如 图 3-36 所 示 。 
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图 3-35 输入 要 过 滤 的 地 址 范围 图 3-36 定义 过 滤器 窗口 


【 高级】 选项 卡 主要 是 设置 需要 过 滤 的 协议 ,选择 TCP 选项 的 原因 是 HITP( 80) 
和 HTTPS (443 ) 都 属于 TCP 协议 。 


(6) 在 该 软件 主 界面 中 ， 单 击 【 开 始 】 按 钮 中， 并 打开 正 浏览 器 ， 进 入 网 易 163 邮箱 
的 页 面 ， 在 【用 户 名 】 和 【密码 】 文 本 框 中 输入 相应 信息 ， 单 击 【登录 】 按 钮 ， 如 图 3-37 
所 示 。 

(7) 在 该 软件 主 界面 中 ， 单 击 【 关 闭 并 显示 】 按 钮 乔 ， 选 择 【 解 码 】 选 项 卡 ， 如 图 3-38 
所 示 。 
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图 3-37 输入 用 户 名 和 密码 图 3-38 捕获 的 各 层 信息 
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“Layer” 下方 显示 的 是 各 层 捕 获 的 信息 数量 ， 而 在 右边 的 窗 格 内 中 是 
123.125.50.22， 协 议 是 HITP， 就 是 所 捕获 的 数据 包 。 


(8) 在 【解码 】 选 项 卡 页 面 中 所 包含 的 HITP 数据 包 中 ， 单 击 含 有 “POST/loginjsp” 字 
段 的 数据 包 ， 如 图 3-39 所 示 。 


使 用 解码 选项 来 分 析 HITP 数据 包 ， 关 键 是 要 对 各 种 层次 的 协议 了 解 得 比较 
透彻 ， 只 有 这 样 才能 对 所 截取 的 数据 包 进 行 正确 的 分 析 。 从 解码 HITP 的 数 
据 中 能 够 找 出 登录 的 账号 和 密码 等 相关 信息 。 


(9) 在 该 软件 主 界面 中 ， 单 击 【开始 】 按 钮 "| (再 次 捕获 数据 包 )， 打 开 正 浏览 器 ， 进 
入 163 邮箱 网 页 ， 在 【用 户 名 】 和 【密码 】 文 本 框 中 输入 相应 信息 ， 启 用 【SSL 安全 登录 】 
复 选 框 ， 并 单 击 【登录 】 按 钮 ， 如 图 3-40 所 示 。 
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图 3-39 包含 POST 字段 的 数据 包 图 3-40 SSL 安全 登录 


单 击 【 登 录 】 按 钮 后 ， 有 个 页 面 跳 转 过 程 ， 在 页 面 跳 转 时 能 够 看 见 下 E 地 址 栏 
中 的 http 变 成 了 https， 因 为 https 协议 调用 了 SSL 技术 。 


(10) 在 该 软件 主 界面 中 ， 单 击 【 关 闭 并 显示 】 生 上 胺 钮 ， 如 图 3-41 所 示 。 
(11) 在 【解码 】 选 项 卡 页 面 中 ， 单 击 一 个 HTTPS 的 TCP 数据 包 ， 如 图 3-42 所 示 。 


在 两 次 捕获 的 数据 包 中 ， 上 一 次 所 使 用 的 http 端口 为 80， 可 以 看 到 这 次 https 
使 用 的 端口 号 是 443， 使 用 SSL 安全 登录 ， 从 而 保证 个 人 信息 的 安全 。 


(12) 在 【解码 】 选 项 卡 页 面 所 包含 的 HTTP 数据 包 中 ， 单 击 含 有 “了 POST” 字段 的 数据 
包 ， 如 图 3-43 所 示 。 
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DLC: Ethertypo-0000. sizc-62 bytes 加 
Dr[61.135 .250.85] S-[192.168.0.15] LEN-28 ID-3159 


: Source port = 1229 
: Destinaticn port = 443 (Https) 
: Initial sequence nunber = 4178520602 

: Next expected Seq nunber= 4178520603 

: Data offset = 28 bytes 


图 3-41 关闭 监听 ， 显 示 数 据 包 
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图 3-43 包含 POST 字段 的 数据 


使 用 SSL 认证 方式 ， 避 免 了 黑客 通过 噢 探 工具 截取 用 户 的 账号 和 密码 等 重要 
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操作 系统 加 固 


es 


目前 ，Windows Server 2008 是 最 新 的 服务 器 操作 系统 ， 具 有 高 性 能 、 高 可 靠 性 和 高 安全 
性 等 特点 。 在 默认 状态 下 ，Windows Server 2008 在 安装 完成 后 已 经 实施 了 很 多 安全 策略 ， 但 
由 于 服务 器 操作 系统 的 特殊 性 ， 除 默认 安全 策略 外 ， 还 需要 管理 员 对 操作 系统 进行 加 固 ， 以 
进一步 提高 服务 器 操作 系统 的 安全 性 ， 从 而 保证 业务 应 用 系统 和 数据 库 系 统 的 安全 性 。 

本 章 从 操作 系统 的 安装 与 更 新 开始 来 介绍 如 何 正 确 安装 和 配置 Windows Server 2008 服务 
器 操作 系统 。 


> 了 解 操 作 系统 及 补丁 的 安装 注意 事项 
> 熟悉 系统 服务 安全 中 的 服务 账户 

> 了 解 Windows 防火 墙 

> 掌握 安全 配置 向 导 使 用 方法 

> 熟悉 默认 共享 

> 掌握 系统 服务 配置 注意 事项 


4.1 操作 系统 安装 与 更 新 


为 了 保证 操作 系统 能 够 顺利 安装 ， 不 仅 要 在 安装 前 作 好 准备 〈 包 括 备份 文件 等 )， 而 且 为 
了 系统 的 安全 也 要 采取 安全 的 安装 方式 。 

另外 ， 为 了 保护 Windows 系统 的 安全 ， 微 软 公司 会 不 定期 地 发 布 各 种 更 新 程序 以 修补 系 
统 漏洞 , 提高 系统 性 能 。 因此 ， 系 统 更 新 是 Windows 系统 必 不 可 少 的 功能 。 在 Windows Server 
2008 服务 器 中 ， 为 了 避免 系统 漏洞 带 来 安全 隐患 ， 必 须 启用 自动 更 新 功能 并 及 时 安装 补丁 。 


4.1.1 安装 注意 事项 


为 了 保证 Windows Server 2008 能 够 顺利 安装 ， 在 开始 安装 前 必须 作 好 准备 工作 ， 包 括 检 
查 日 志 正 误 、 备 份 文件 、 断 开 网 络 以 及 断 开 不 必要 的 硬件 连接 等 。 


站 三 切断 与 硬件 设备 的 连接 “ 


如 果 计 算 机 正 与 打印 机 、 扫 描 仪 或 者 不 间断 电源 (UPS) 等 不 必要 的 外 部 设备 相连 接 ， 那 
么 应 在 运行 安装 程序 之 前 将 其 断 开 ， 以 避免 安装 程序 在 自动 检测 这 类 设备 时 出 现 问题 。 


在 网 络 中 可 能 会 有 病毒 在 传播 ， 如 果 不 是 通过 网 络 安装 操作 系统 ， 在 安装 之 前 就 应 断 开 
网 络 连接 或 直接 拔 下 网 线 ， 以 免 新 安装 的 系统 也 被 病毒 污染 。 


3. 检查 系统 日 志 ， 寻 找 错误 


如 果 在 计算 机 中 ， 已 经 安装 了 其 他 操作 系统 ， 建 议 使 用 “事件 查看 器 ”查看 系统 日 志 ， 
找 出 可 能 在 升级 期 间 引 发 的 问题 的 最 新 错误 或 重复 发 生 的 错误 。 


I 


如 果 服 务 器 中 已 经 安装 有 其 他 系统 ， 那 么 为 了 避免 重要 数据 丢失 ， 建 议 在 升级 前 备份 有 
用 数据 ， 包 括 计算 机 运行 所 需 的 全 部 数据 和 配置 信息 ， 以 及 所 有 的 用 户 和 相关 数据 ， 尤 其 是 
那些 提供 网 络 服务 的 数据 (如 DHCP 数据 ) 等 。 建 议 将 文件 备份 到 各 种 不 同 的 媒介 中 ， 例 如 ， 
磁带 驱动 器 或 网 络 上 其 他 计算 机 的 硬盘 ， 尽 量 不 要 保存 在 本 地 计算 机 的 磁盘 中 。 


| 


如 果 要 将 Windows 2000 Server 或 Windows Server 2003 升级 到 Windows Server 2008， 为 
了 保证 应 用 程序 的 兼容 性 ， 可 以 使 用 Microsoft 应 用 程序 兼容 性 工具 包 进 行 检 测 ， 以 及 用 来 准 
备 安装 Windows Server 2008。 


由 于 服务 器 中 安装 有 RAID 卡 等 设备 ， 而 这 些 设备 可 能 无 法 被 Windows 系统 所 识别 ， 
此 ， 必 须 在 安装 之 前 就 加 载 相 应 的 驱动 程序 。 大 多 数 品 牌 服务 器 在 出 厂 时 就 已 经 配备 了 引导 
光盘 ， 用 来 加 载 各 种 驱动 程序 并 引导 安装 Windows Server 2008。 因 此 ， 建 议 使 用 引导 光盘 安 
装 ， 如 果 没 有 引导 光盘 ， 那 么 安装 操作 系统 之 前 可 以 加 载 RAID 控制 器 的 驱动 程序 ， 否 则 ， 
无 法 安装 操作 系统 。 至 于 其 他 设备 的 驱动 程序 ， 可 以 在 系统 安装 完成 后 再 安装 。 


RAID 是 英文 Redundant Array of Independent Disks 的 缩写 , 即 独立 磁盘 宛 余 阵 
列 ， 或 简称 磁盘 阵列 。 简 单 地 说 ，RAID 就 是 一 种 把 多 块 独立 的 硬盘 ( 物理 硬 
盘 ) 按 不 同方 式 组 合 起 来 形成 一 个 硬盘 组 ( 逻辑 硬盘 )， 从 而 提供 比 单个 硬盘 
更 高 的 存储 性 能 和 提供 数据 宛 余 的 技术 。 而 RAID 卡 就 是 一 种 用 来 实现 RAID 
功能 的 板 卡 。 


| 


由 于 Windows Server 2008 安装 程序 比较 大 ， 安 装 光盘 采用 的 是 DVD 格式 ， 因 此 ， 服 务 
器 必须 配置 DVD 光驱 ， 而 VCD 则 无 法 读 取 光 盘 内 容 。 

另外 ， 在 安装 Windows Server 2008 操作 系统 时 ， 为 提高 系统 安全 ， 建 议 采 用 最 小 化 方式 
安装 ， 只 安装 网 络 服务 所 必需 的 角色 。 当 产生 新 的 服务 需求 时 ， 再 安装 相应 的 角色 ， 并 及 时 


进行 安全 设置 。 

通常 ， 为 保证 系统 初始 化 安装 时 的 安全 ， 应 注意 以 下 事项 。 

口 确保 操作 系统 来 源 的 合法 性 。 

口 保证 硬件 设备 的 可 靠 性 。 建 议 操作 系统 运行 于 RAID 5 方式 的 磁盘 阵列 中 ， 确 保 服务 
器 硬件 环境 的 稳定 。 

口 将 操作 系统 安装 在 一 个 干净 的 系统 分 区 中 。 在 安装 之 前 ， 确 定 磁盘 中 所 有 的 数据 都 已 
经 删除 干净， 磁盘 完好 无 损 ， 最 好 将 涉及 的 磁盘 全 部 都 格式 化 。 合 理 安排 系统 安装 分 
区 ， 如 C 盘 安 装 操作 系统 、DD 盘 安装 数据 库 系 统 、E 盘存 储 日 志文 件 等 。 

口 在 操作 系统 安装 完成 后 但 没有 正式 运行 前 ， 保 证 系统 在 安装 的 过 程 中 不 与 任何 公共 的 
系统 相连 ， 如 果 必 须 相 连 ， 要 确保 服务 器 在 一 个 独立 可 信 并 且 是 绝对 安全 的 网 段 中 。 

口 不 要 在 服务 器 上 安装 多 系统 启动 环境 。 防 止 系统 因为 交叉 启动 控制 而 造成 引导 区 或 者 
引导 文件 的 丢失 和 损坏 。 

口 如 有 可 能 ， 尽 量 安装 英文 版 本 的 操作 系统 。 因 为 微软 公司 总 是 最 先 发 布 英文 版 本 的 补 
丁 ， 中 文 版 本 的 补丁 相对 滞后 一 段 时 间 。 

口 使 用 NTFS 分 区 作为 唯一 的 文件 系统 分 区 标准 。NTFS 是 真正 的 日 志 性 文件 系统 ， 使 
用 日 志和 检查 点 信息 ， 即 使 在 发 生 系统 崩溃 或 者 电源 故障 的 时 候 也 能 保证 文件 系统 的 
一 致 性 。 只 有 使 用 NTFS 格式 的 分 区 才能 对 文件 使 用 控制 访问 列表 (ACL ) 的 访问 进 
行 控制 ， 达 到 访问 控制 安全 的 目的 。 

口 仅 安 装 TCP/IP 协议 ， 如 果 没 有 必要 不 要 安装 任何 其 他 协议 。 

口 在 安装 的 过 程 中 ， 为 系统 管理 员 设置 一 个 足够 强 的 复杂 密码 ， 长 度 最 好 在 20 位 以 上 。 


4.1.2 补丁 安装 注意 事项 


Windows 系统 补丁 程序 是 由 微软 网 站 发 布 的 用 于 弥补 相应 操作 系统 漏洞 或 缺陷 的 应 用 程 
序 包 。 通 常 有 手动 安装 和 自动 安装 两 种 方式 。 手 动 安装 补丁 程序 多 用 于 不 支持 自动 下 载 和 安 
装 更 新 内 容 的 Windows 操作 系统 (如 Windows 98)， 或 者 不 方便 在 线 获取 更 新 内 容 的 安装 。 
手动 安装 补丁 程序 与 普通 应 用 程序 的 安装 比较 相似 。 补 丁 程序 可 以 通过 登录 相关 网 站 直接 下 
载 ， 也 可 以 通过 购买 含有 补丁 程序 的 安装 光盘 获得 。 

安装 最 新 的 服务 包 补丁 程序 ， 可 用 来 修补 系统 漏洞 ， 避 免 或 减 小 受到 病毒 和 木马 攻击 的 
可 能 性 。 

用 户 可 以 通过 多 种 渠道 获得 漏洞 补丁 程序 ， 但 是 需要 注意 的 是 ， 这 些 补丁 通常 都 是 针对 
特定 产品 的 ， 安 装 之 前 必须 仔细 阅读 相关 文档 ， 这 包括 如 下 3 个 方面 内 容 。 


在 运行 补丁 程序 之 前 ， 一 定 要 仔细 阅读 有 关 的 说 明文 档 ， 充 分 了 解 补丁 的 功能 、 用 法 、 
对 应 漏洞 的 情况 ， 对 安装 补丁 后 发 生 的 后 果 要 做 到 心中 有 数 。 然 后 根据 企业 的 网 络 环境 进行 
分 析 ， 判 断 可 能 产生 的 安全 风险 ， 根 据 漏洞 的 紧急 情况 ， 判 断 是 否 需要 安装 补丁 。 需 要 提前 
做 好 预备 工作 ， 确 保 针 对 在 补丁 安装 完成 后 出 现 的 问题 ， 能 有 高 效 、 快 捷 、 安 全 的 补救 措施 。 


注意 补丁 程序 对 应 的 操作 系统 和 应 用 软件 的 版 本 。 很 多 补丁 都 是 针对 某 个 特定 的 操作 系 
统 和 应 用 软件 版 本 而 开发 的 。 另 外 ， 在 使 用 时 还 要 下 载 与 操作 系统 〈 不 同 语言 版 本 ) 应 用 程 
序 相 匹配 的 补丁 程序 。 


补丁 的 来 源 一 定 要 安全 ， 必 须 在 可 靠 的 平台 下 载 ， 或 者 到 由 安全 认证 的 供应 商 那 获取 相 
关 的 补丁 程序 ， 防 止 被 恶意 修改 或 安装 了 嵌入 有 “木马 ”程序 的 补丁 。 建 议 到 官方 网 站 或 信 
誉 度 较 好 的 网 站 下 载 补丁 安装 或 者 在 线 安装 补丁 ， 这 样 ， 一 方面 可 以 保证 下 载 的 补丁 是 安全 
有 效 的 ， 另 一 方面 可 以 保证 补丁 安装 包 的 时 效 性 。 

除 以 上 3 点 需要 特别 注意 外 ， 在 安装 系统 补丁 的 时 候 还 应 该 注意 以 下 问题 。 

口 断 开 网 络 连 接 

计算 机 在 没有 安装 补丁 之 前 一 定 要 断 网 。 所 需 的 补丁 程序 在 其 他 计算 机 上 下 载 后 ， 使 用 
移动 存储 设备 或 者 刻录 成 光盘 ， 复 制 到 需要 安装 补丁 的 服务 器 ， 再 进行 安装 。 

口 安装 顺序 

某 些 补丁 程序 对 安装 顺序 有 要 求 ， 例 如 ，Windows Server 2003 的 某 些 系统 补丁 程序 就 要 
求 必 须 先 安装 Windows Installer 3.0， 和 否则 其 他 补丁 安装 无 法 完成 。 

口 安装 目录 

安装 过 程 中 如 需 确 认 或 更 改 安装 目录 的 ， 建 议 保持 系统 默认 设置 。 

口 关闭 非 必需 应 用 程序 

在 开始 安装 补丁 程序 前 应 首先 关闭 其 他 应 用 程序 ， 以 免 导致 安装 失败 。 另 外 ， 有 些 补丁 
程序 安装 完成 后 需要 重新 启动 计算 机 方 可 生效 ， 应 注意 及 时 保存 当前 打开 应 用 程序 的 结果 。 

口 版 本 要 求 

获取 补丁 程序 时 应 注意 其 版 本 要 求 ， 不 仅 要 注意 Windows 操作 系统 的 类 型 ， 还 应 注意 英 
文 版 和 简体 中 文 版 、 繁 体 中 文 版 之 间 的 区 别 。 

口 Service Pack 包 

对 于 Service Pack 包 , 应 从 可 信和 的 渠道 获得 微软 的 服务 安装 程序 的 Service Pack 包 , 例如 ， 
从 微软 的 官方 站 点 下 载 。 

口 HotFix 

微软 提供 了 Windows Update 程序 ， 可 以 直接 连接 到 微软 的 安全 更 新 网 站 ， 获 取 最 近 更 新 
的 HotFix〔 即 服务 包 发 布 之 后 的 安全 补丁 程序 ， 通 常用 来 弥补 最 新 出 现 的 安全 漏洞 )。 

口 Microsoft Update 网 站 

微软 还 提供 了 一 个 安全 更 新 网 站 一 一 Microsoft Update， 它 可 以 帮助 用 户 更 新 Microsoft 
Windows 以 及 安装 的 许多 其 他 Microsoft 程序 ,例如 Microsoft Office、Microsoft Exchange Server 
和 Microsoft SQL Server 等 ， 所 有 更 新 程序 都 可 以 很 方便 地 获得 。 

口 重新 启动 系统 

在 Windows 中 安装 Service Pack 或 者 HotFix 时 ， 经 常 需要 重新 启动 服务 器 。 建 议 根据 系 
统 提示 进行 系统 重启 ， 不 要 因为 怕 麻 烦 而 减少 系统 启动 的 步 又， 和 否则， 可 能 会 造成 一 些 意 想 
不 到 的 故障 。 


4.1.3 补丁 安装 


Windows 操作 系统 补丁 的 安装 方法 有 多 种 , 下 面 以 Microsoft Windows Update 联机 更 新 补 
丁 的 方式 来 介绍 如 何 自动 更 新 补丁 。 

在 Windows Server 2008 中 ,执行 【开始 下 所 有 程序 ?Windows Update 命令 ,打开 Windows 
Update 窗口 。 如 果 是 首次 运行 Windows Update， 那 么 系统 将 检查 当前 的 操作 系统 中 是 否 已 经 
启动 自动 更 新 ， 检 查 完成 后 将 提示 网 络 管理 员 启 用 Windows Update， 此 时 单 击 【 立 即 启用 】 
按钮 即 可 ， 如 图 4-1 所 示 。 

接着 , 系统 将 检测 更 新 , 由 于 是 重新 运行 Windows Update, 系统 会 提示 安装 新 的 Windows 
Update 软件 ， 此 时 单 击 【 现 在 安装 】 按 钮 ， 如 图 4-2 所 示 。 
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4-1 Windows Update 窗口 图 4-2 安装 新 的 Windows Update 软件 


当 新 的 Windows Update 软件 更 新 完成 后 , 该 软件 将 自动 关闭 并 重新 打开 , 此 时 , 单 击 【 检 
查 更 新 】 按 钮 ， 如 图 4-3 所 示 。 

当 可 用 更 新 检查 完成 后 ， 只 需 单 击 【安装 更 新 】 按 钮 即 可 ， 如 图 4-4 所 示 。 在 安装 时 用 户 
需要 根据 提示 同意 安装 更 新 。 当 安装 完成 后 ， 还 需要 用 户 重新 启动 计算 机 。 


系统 补丁 程序 虽然 对 操作 系统 有 益 ， 但 是 有 些 对 系统 环境 要 求 严格 的 硬件 可 
能 会 在 安装 补丁 程序 后 出 现 应 用 故障 ， 必 要 时 可 以 采取 印 载 最 近 安 装 的 补丁 
程序 的 方法 来 排除 故障 。 


当 计 算 机 重新 启动 后 ， 再 次 打开 Windows Update 窗口 ， 通 过 选择 【查看 更 新 历史 记录 】 
选项 ， 可 查看 补丁 安装 结果 列表 ， 如 图 4-5 所 示 。 
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图 4-5 查看 安装 补丁 


4.1.4 癌 等 心得 一 一 条 第 及 务 安 会 四 的 下 务 芒 广 


服务 仅 在 登录 到 某 一 账户 的 情况 下 才能 访问 操作 系统 中 的 资源 和 对 象 。 大 多 数 服务 都 不 
会 更 改 默认 的 登录 账户 ， 更 改 默认 账户 可 能 导致 服务 失败 。 如 果 选 定 账户 没有 登录 计算 机 服 
务 的 权限 ，Microsoft 管理 控制 台 的 服务 管理 单元 将 自动 为 该 账户 授予 登录 服务 的 用 户 权限 ， 
但 并 不 一 定 会 启动 服务 。 

与 Windows Server 2003 相同 , 在 Windows Server 2008 操作 系统 中 也 包括 3 个 内 置 的 本 地 
账户 ， 分 别 用 作 各 系统 服务 的 登录 账户 。 


本 地 系统 账户 的 名 称 是 LocalSystem， 没 有 密码 设置 ， 功 能 强大 。 它 可 以 对 本 地 系统 进行 
完全 访问 ， 并 为 网 络 中 的 计算 机 提供 服务 。 有 些 服务 的 默认 配置 使 用 的 是 本 地 系统 账户 ， 则 
不 需要 更 改 默认 服务 设置 。 如 果 某 服务 登录 到 域 控制 器 使 用 的 是 本 地 系统 账户 ， 则 该 服务 可 
访问 整个 域 。 


本 地 服务 账户 是 一 种 特殊 的 内 置 账户 ， 类 似 于 经 过 身份 验证 的 用 户 账 户 。 就 访问 资源 的 
对 象 而 言 ， 本 地 服务 账户 与 Users〈 用 户 ) 组 成 员 具 有 相同 的 权限 。 这 种 限制 性 访问 有 助 于 在 
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个 别 服务 或 进程 受 损 时 保障 系统 安全 ， 以 本 地 服务 账户 运行 的 服务 使 用 有 匿名 凭据 的 空 会 话 
来 访问 网 络 资源 。 本 地 服务 账户 名 称 为 NTAUTHORITY\LocalService， 且 该 账户 没有 密码 。 


@ 3. 网 络 服务 账户 门 

网 络 服务 账户 也 是 一 种 特殊 的 内 置 账户 ， 类 似 于 经 过 身份 验证 的 用 户 账户 。 就 访问 资源 
的 对 象 而 言 ,“ 网 络 服务 ”账户 与 “Users” 组 成 员 权 限 等 同 。 这 种 限制 性 访问 有 助 于 在 个 别 服 
务 或 进程 受 损 时 保障 系统 安全 ， 以 “网 络 服务 ”账户 运行 的 服务 可 使 用 计算 机 账户 的 凭据 来 
访问 网 络 资源 。 账 户 名 称 为 NTAUTHORITY\NetworkService， 该 账户 没有 密码 。 


如 果 更 改 默认 服务 设置 ， 那 么 重要 的 服务 可 能 无 法 正常 运行 。 最 重要 的 是 ， 
更 改 启动 类 型 一 定 要 小 心 谨慎 地 进行 ， 要 使 用 配置 了 自动 启动 服务 的 设置 进 
行 登录 。 


4.2 ”Internet 连接 防火 墙 


Windows Server 2008 的 防火 墙 是 一 款 基于 主机 的 状态 防火 墙 ， 在 系统 安装 完成 后 就 已 经 
被 预先 安装 ， 与 Windows Server 2003 相 比 不 仅 安全 性 更 高 ， 而 且 更 易于 管理 和 配置 。 


4.2.1 Windows 防火 墙 简介 


默认 状态 下 ，Windows 防火 墙 已 经 处 于 开启 状态 ， 能 够 提供 基本 的 安全 防护 功能 ， 保 护 
内 部 网 络 免 受 恶 意 攻 击 者 的 入 侵 。 除 了 默认 设置 外 ， 用 户 还 可 以 根据 需要 开启 或 关闭 防火 墙 。 
在 Windows Server 2008 中 ，Windows 防火 墙 的 基本 配置 
变化 不 大 , 只 要 拥有 系统 管理 员 权限 的 用 户 账户 , 都 可 以 
配置 Windows 防火 墙 。 

在 Windows Server 2008 中 ， 上 账户 控制 功能 默认 是 开 


擅 可 以 帮助 阴 止 里 客 或 恶意 软件 通过 Internet 或 癌 络 访问 


Mindows 
全 的 计算 机 = 


启 的 ,普通 账户 必须 得 到 管理 员 账 户 的 授权 后 , 才 可 以 配 | 加 “ 刘 WwW 
置 Windows 防火 墙 。 厂 则 上 所 有 传 入 乏 禄 GD) 

执行 【开始 】|【 控 制 面板 】 命 令 ， 在 打开 的 窗口 中 Sr 
双击 【Windows 防火 墙 】 图 标 ， 即 可 进入 【Windows 防 吏 
火 墙 】 窗口 。 在 该 窗口 中 ， 选 择 【更 改 设置 】 选 项 ， 可 以 “| Dp 
打开 【Windows 防火 墙 设置 】 对 话 框 ， 如 图 4-6 所 示 。 | 

@ 1.【 常 规 】 选 项 卡 中 CJ ww | an | 


在 【常规 】 选 项 卡 中 ， 可 以 为 所 有 连接 启用 或 关闭 图 4-6 Windows 防火 墙 设置 
Windows 防火 墙 ， 而 且 【 阻 止 所 有 传 入 连接 】 复 选 框 也 是 一 个 非常 好 的 选项 ， 特 别 是 当前 连 
接 到 的 网 络 存在 严重 的 安全 隐患 时 ， 该 选项 能 够 临时 让 系统 禁止 【例外 】 选 项 卡 中 设置 的 任 


何 程序 或 服务 访问 网 络 ， 一 旦 本 地 服务 器 系统 处 于 一 个 比较 安全 的 工作 环境 时 ， 再 禁用 【 阻 
止 所 有 传 入 连接 】 复 选 框 ， 恢 复 之 前 的 正常 操作 。 

启用 了 服务 器 系统 的 防火 墙 功能 后 ， 在 默认 状态 下 ， 该 防火 墙 程序 会 同时 拦截 所 有 程序 
去 访问 外 部 网 络 ， 除 了 在 【例外 】 选 项 卡 中 设置 的 选项 外 。Windows 防火 墙 有 如 下 3 种 设置 。 

口 启用 

Windows 防火 墙 在 默认 状态 下 处 于 打开 状态 ， 建 议 保留 此 设置 。 此 时 ，Windows 防火 墙 
会 阻止 所 有 到 计算 机 的 未 经 请 求 的 连接 ， 但 不 包括 在 【例外 】 选 项 卡 中 选择 的 程序 或 服务 所 
发 出 的 请 求 。 

口 阻止 所 有 传 入 连接 

如 果 启 用 该 复 选 框 , 那么 Windows 防火 墙 会 阻止 所 有 到 计算 机 的 未 经 请 求 的 连接 , 且 【 例 
外 】 选 项 卡 中 的 程序 和 服务 也 将 不 能 连接 网 络 。 使 用 该 设置 可 以 为 计算 机 提供 最 大 程度 的 保 
护 ， 但 此 时 某 些 程序 也 可 能 会 无 法 正常 工作 。 

口 关闭 

如 果 关 闭 Windows 防火 墙 ， 那 么 计算 机 很 容易 受到 非法 入 侵 者 或 者 Internet 病毒 的 侵害 。 
该 设置 适用 于 高 级 用 户 ， 或 计算 机 中 安装 有 其 他 防火 墙 。 


( Pe 


在 【例外 】 选 项 卡 中 ， 可 以 设置 能 够 直接 访问 网 络 的 程序 或 服务 ， 可 以 依次 单 击 【 添 加 
程序 】 按 钮 【添加 端口 】 按 钮 来 自行 添加 需要 访问 外 部 网 络 的 程序 或 服务 ， 从 而 解除 系统 防 
火 墙 程序 对 网 络 访问 的 阻止 ， 图 4-7 所 示 为 【例外 】 选 项 卡 。 


CL 


在 【高 级 】 选 项 卡 中 ， 可 以 根据 本 地 服务 器 系统 中 多 个 网 络 连接 的 情况 ， 选 择 需 要 受 防 
火 墙 保护 的 目标 网 络 连 接 。 如 果 发 现 防火 墙 中 有 许多 参数 没有 配置 正确 ， 或 防火 墙 出 现 故 障 ， 
用 户 可 以 通过 单 击 【 还 原 为 默认 值 】 按 钮 ， 如 图 4-8 所 示 。 这 样 能 够 快速 取消 所 有 的 参数 修改 
操作 ， 将 系统 防火 墙 的 参数 设置 恢复 到 系统 初始 状态 。 


渗 加 程序 中 .| 添加 请 口 中) | 属性 cr) ila) 
厂 Windows 防火 丧 阻 止 新 程序 时 通知 我 人 B) 
CE ] ww | a” 


图 4-7 【例外 】 选 项 卡 4-8 【高 级 】 选 项 卡 


还 原 为 默认 值 后 ， 用 户 自 定义 的 所 有 “例外 ”项 目 也 都 将 被 删除 ， 所 有 设置 
和 选项 都 将 还 原 到 原始 状态 。 


4.2.2 启用 Windows 防火 墙 


Windows Server 2008 自 带 了 Windows 防火 墙 功能 ， 可 以 有 效 地 防止 服务 器 上 未 经 允许 的 
程序 与 网 络 进行 通信 ， 从 而 在 一 定 程度 上 保护 了 服务 器 与 网 络 的 安全 。 如 果 要 运行 某 个 程序 
与 网 络 进行 通信 ， 可 以 将 其 添加 到 Windows 防火 墙 的 “例外 ”中 。 

在 默认 状态 下 ，Windows Server 2008 系统 安装 完成 后 ，Windows 防火 墙 为 开启 状态 。 用 
户 可 以 通过 执行 【开始 】|【 控 制 面板 】|【Windows 防火 墙 】 命 令 ， 打 开 【Windows 防火 墙 】 
窗口 ， 如 图 4-9 所 示 。 

在 【Windows 防火 墙 】 窗 口中 ， 单 击 【 更 改 设置 】 链 接 ， 在 弹出 的 【Windows 防火 墙 设 
置 】 对 话 框 中 ， 默 认 选 中 【启用 】 单 选 按钮 ， 如 图 4-10 所 示 。 如 果 要 连接 到 不 太 安全 的 网 络 ， 
为 了 保护 服务 器 的 安全 ， 可 启用 【阻止 所 有 传 入 连接 】 复 选 框 ， 就 可 以 阻止 所 有 的 程序 与 网 
络 进 行 通信 。 选 中 【关闭 】 单 选 按钮 ， 则 将 禁用 Windows 防火 墙 。 


户 用 或 关 闭 Windows 防火 增 。 Windows 防火 墙 
允许 得 序 通 过 Windows 护 火 。 Windows 防 增 动 于 防止 可 或 和 名 软件 通 过 网 络 或 intornat 沪 问 相 的 计生 机 
过 本 下 i 
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图 4-9 Windows 防火 墙 4-10 Windows 防火 墙 设置 


4.3 ”安全 配置 向 导 


安装 系统 补丁 、 启 用 Windows 防火 墙 可 以 从 一 定 程度 上 确保 服务 器 系统 的 安全 性 ， 但 是 
对 服务 器 上 安装 的 应 用 程序 、 服 务 器 角色 起 不 到 任何 保护 作用 。 因 此 ， 在 完成 相应 的 网 络 服 
务 器 部 署 之 后 ， 管 理 员 还 应 借助 Windows Server 2008 提供 的 安全 配置 向 导 〈SCW)， 为 指定 
服务 或 网 络 应 用 设置 安全 配置 策略 。 


4.3.1 安全 配置 向 导 概 述 


安全 配置 向 导 (Security Configuration Wizard，SCW) 是 Windows Server 2008 附带 的 一 
个 用 于 缩小 计算 机 受 攻击 面 的 工具 。 通过 SCW 管理 员 可 以 根据 服务 器 角色 所 需 的 最 少 功能 来 
快速 完成 创建 、 编 辑 、 应 用 安全 策略 等 操作 。 

在 Windows Server 2008 中 ， 已 经 默认 集成 安全 配置 向 导 ， 用 户 无 需 安装 即 可 直接 使 用 。 
安全 配置 向 导 是 一 个 完全 基于 服务 角色 的 工具 , 使 用 SCW 创建 的 安全 策略 是 一 个 以 .xml 结尾 
的 文件 ， 应 用 后 ， 可 以 配置 服务 、 网 络 安全 、 特 定 注册 表 值 和 审核 策略 。 用 户 可 以 根据 需要 
创建 针对 某 个 服务 器 角色 的 安全 策略 ， 并 且 可 以 将 其 应 用 到 其 他 相应 类 型 的 服务 器 中 。 例 如 ， 
服务 器 可 能 是 文件 服务 器 、 打 印 服务 器 等 。 

在 配置 和 应 用 SCW 时 应 该 注意 如 下 事项 。 

口 创建 和 应 用 SCW 安全 策略 时 ， 应 确保 服务 器 的 TCP/IP 属性 配置 及 其 端口 配置 完全 

正确 。 

口 SCW 禁用 不 需要 的 服务 并 提供 对 具有 高 级 安全 性 的 Windows 防火 墙 的 支持 。 

口 使 用 SCW 创建 的 安全 策略 与 安全 模板 不 同 。 其 中 ， 前 者 的 文件 扩展 名 为 .xml; 后 者 的 

文件 扩展 名 为 .inf。 用 户 创建 的 安全 策略 源 于 安全 模板 ， 安 全 模板 包含 的 安全 设置 可 以 
应 用 于 所 有 的 服务 器 角色 。 
口 部 署 SCW 安全 策略 后 并 不 会 影响 服务 器 提供 服务 时 所 需 的 组 件 ， 并 且 应 用 之 后 ， 管 
理 员 仍 可 以 通过 服务 器 管理 器 安装 所 需 的 组 件 。 
口 SCW 不 会 安装 或 印 载 服务 器 执行 角色 时 所 需 的 组 件 。 
口 在 应 用 SCW 安全 策略 之 后 ，SCW 将 自动 选择 所 要 从 属 的 角色 。 
口 在 某 些 情况 下 ， 计 算 机 必须 连接 到 Internet， 以 使 用 在 SCW 帮助 中 所 提供 的 链接 。 


4.3.2 配置 安全 策略 


利用 SCW 所 提供 的 功能 ， 网 络 管理 员 能 够 非常 轻松 地 完成 服务 器 角色 的 指定 ， 禁 用 不 需 
要 的 服务 和 端口 ， 配 置 服务 器 的 网 络 安全 ， 
审核 策略 、 注 册 表 和 IIS 服务 器 等 工作 ， 对 
巩固 服务 器 的 安全 有 极 大 的 帮助 。 同 时 ， 由 
于 整个 配置 过 程 都 是 在 向 导 对 话 框 中 完成 
的 ， 无 需 烦 琐 的 手工 设置 ， 因 此 ， 管 理 员 的 
工作 负担 也 会 得 到 减轻 。 

要 配置 安全 策略 , 首先 需要 执行 【开始 】 
1【 管 理工 具 】|【 安 全 配置 向 导 】 命 令 ， 启动 
【欢迎 使 用 安全 配置 向 导 】 对 话 框 ， 并 直接 
单 击 【 下 一 步 】 按钮。 然后 ， 在 【配置 操作 】 
对 话 框 中 , 选中 【新 建安 全 策略 】 单 选 按钮 ， 
并 单 击 【下 一 步 】 按 钮 ， 如 图 4-11 所 示 。 图 4-11 新 建安 全 策略 


用 户 也 可 以 单 击 【 开 始 〗 菜 单 ， 并 在 【开始 搜索 】 文 本 框 中 ， 输 入 scw.exe 命 
令 ， 按 回 车 键 来 启动 安全 配置 向 导 。 


在 【配置 操作 】 对 话 框 中 ， 为 用 户 提供 了 4 种 不 同 的 配置 操作 ， 每 种 操作 有 如 下 说 明 。 

口 新 建安 全 策略 

可 以 创建 用 于 配置 服务 、Windows 防火 墙 、Intemet 协议 安全 (IPSec) 设置 、 审 核 策略 和 
特定 注册 表 设 置 的 安全 策略 。 安 全 策略 文件 是 XML 格式 的 文件 ， 其 默认 保存 路 径 
为 "6systemroot%bvsecuritymsscw\Policies。 

口 编辑 现 有 安全 策略 

可 以 编辑 已 使 用 SCW 创建 的 安全 策略 。 只 有 在 选中 【编辑 现 有 安全 策略 】 单 选 按钮 的 情 
况 下 ， 才 能 浏览 要 编辑 的 安全 策略 文件 所 在 的 文件 夹 。 编 辑 的 策略 可 存储 在 本 地 或 网 络 共享 
文件 夹 中 。 

口 应 用 现 有 安全 策略 

使 用 SCW 创建 安全 策略 后 ， 可 将 其 应 用 到 测试 服务 器 ， 或 者 应 用 到 生产 环境 当中 。 


在 将 新 创建 或 新 修改 的 安全 策略 应 用 到 实际 生产 环境 之 前 ， 应 该 首先 对 其 进 
行 测试 ， 然 后 再 将 安全 策略 部 署 到 业务 系统 当中 ， 测 试 可 使 新 策略 在 生产 环 
境 中 导致 意外 结果 的 可 能 性 降 至 最 低 。 


口 回 滚 上 一 次 应 用 的 安全 策略 
如 果 使 用 SCW 应 用 的 安全 策略 使 服务 器 功能 达 不 到 预期 所 要 效果 , 或 者 导致 其 他 非 预 期 
结果 ， 则 可 以 选中 该 单 选 按钮 ， 那 么 SCW 将 自动 从 该 服务 器 中 删除 对 应 的 安全 策略 。 


如 果 策 略 是 在 本 地 安全 策略 中 编辑 的 ， 那 么 在 应 用 策略 后 ， 这 些 更 改 就 不 能 
回 滚 到 应 用 前 的 状态 。 对 于 服务 和 注册 表 值 ， 回 滚 过 程 将 会 还 原 在 配置 过 程 
中 更 改 的 设置 ; 对 于 Windows 防火 墙 和 也 Sec, 回 滚 过 程 将 会 取消 当前 使 用 的 
任何 SCW 策略 的 分 配 ， 并 重新 分 配 在 配置 时 使 用 的 前 策略 。 


接着 ， 在 弹出 的 【选择 服务 器 】 对 话 框 的 【服务 器 】 文 本 框 中 ， 输 入 需要 进行 安全 配置 
的 Windows Server 2008 服务 器 的 主机 名 或 地 地 址 。 用户 也 可 以 通过 单 击 【 浏 览 】 按 钮 选择 需 
要 进行 安全 配置 的 目标 计算 机 ， 如 图 4-12 所 示 ， 然 后 单 击 【 下 一 步 】 按 钮 。 

在 【正在 处 理 安全 配置 数据 库 】 对 话 框 中 ， 用 户 可 以 查看 到 系统 正在 扫描 配置 数据 库 ， 
主要 包括 已 安装 或 运行 的 网 络 服务 、IP 地 址 及 子 网 信息 等 ， 当 扫描 完成 后 ， 单 击 【 查 看 配置 
数据 库 】 按 钮 ， 如 图 4-13 所 示 。 

在 【SCW 查看 器 】 窗 口中 ， 用 户 可 以 查看 到 包括 服务 器 角色 、 客 户 端 功 能 、 管 理 和 其 他 
选项 、 服 务 及 Windows 防火 墙 的 详细 信息 ， 如 图 4-14 所 示 。 单 击 【 关 闭 】 按 钮 ， 在 返回 到 的 


操作 系统 加 固 


【正在 处 理 安全 配置 数据 


选择 服务 器 
你 选择 的 妥 务 器 的 配置 将 被 用 未 在 此 安全 策略 中 作为 基准 。 


库 】 对 话 框 中 ， 单 击 


【下 一 步 】 按 钮 即 可 。 


支 全 配置 向 号 
Ei 


在 处 理 支 全 卫 天 数据 库 
安全 本 轨 阔 据 库 包 会 角 名 和 鞭 他 功能 的 党 息 。 
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放生 人 anE 全 ， 您 可 以 将 此 纺 临 应 用 列 寺 定 的 服务 器 ， 或 任何 其 他 


县 务 器 [使 用 DNS js 地 
hs 163.0 100 3 由 | 
2 gn 
拉 定 用 站 户 0 
了 名和 天 这 和 了 光 服 沁 组 的 本 多 信息 。 了 荐 有关 安全 生动 所 车 gj 更 多 信息 * 
《上 - 步 四 [区 亲 习 。 了 消 < 上 - 步 加 | 下 -- 步 虽 | 。 职 滑 
图 4-12 选择 配置 服务 器 图 4-13 ”安全 配置 数据 库 处 理 完成 


a 
Windows 防火 于 


防火 墙 以 及 其 他 设置 的 信息 


图 4-14 SCW 查看 器 


一 


二 


在 此 过 程 中 由 于 Internet Explorer 8.0 的 安全 设置 ， 可 能 会 出 现 安全 提示 信息 
如 果 这 样 则 直接 单 击 【 是 〗】 按 钮 跳 过 即 可 。 


在 【基于 角色 的 服务 配置 】 对 话 框 中 ， 安 全 配置 向 导 可 以 根据 当前 服务 器 提供 网 络 服务 


的 不 同 ， 配 置 相 应 的 安全 策略 ， 直 接 单 击 【 下 一 步 】 按 钮 即 可 ， 加 


图 4-15 所 示 。 


在 【选择 服务 器 角色 】 对 话 框 中 单 击 【 查 看 】 下 拉 按 钮 ， 在 列表 中 提供 了 4 种 可 供 选择 


的 选择 模式 ， 默 认 选 择 【 安 装 的 角色 】 选 项 ， 如 


an 


二 【下 一 步 】 按 钮 即 可 。 


图 4-16 所 示 。 当 


在 该 对 话 框 中 ， 对 于 可 供 选 择 的 4 种 模式 有 如 下 说 明 。 

口 所 有 角色 ”列表 内 将 显示 出 所 有 在 Windows Server 2008 中 可 以 使 用 的 角色 。 
口 安装 的 角色 ”列表 内 将 显示 出 当前 服务 器 中 已 经 安装 的 角色 ， 包 括 没 有 设置 的 角色 。 
口 未 安装 的 角色 ” 列 出 当前 服务 器 中 没有 安装 的 角色 ， 不 包括 没有 设置 的 角色 。 
口 选 定 的 角色 ” 列 出 当前 服务 器 中 已 经 选 定 的 角色 。 


日 户 选 择 需 要 的 模式 后 ， 和 


这 笃 服 秀 寺 角色 
这 衬 取 务 叶 肯 色 用 于 启用 地 务 并 条 开 谋 口 。 一 个 服务 器 可 以 纪行 务 个 角色 ” 


基于 角色 的 服务 配置 
和 
= 


了 期 有 关 基 王 角色 本 和 服务 的 更 多 信息 * 


ET | mW | -oem 人 ww | 


图 4-15 【基于 角色 的 服务 配置 】 对 话 框 图 4-16 选择 服务 器 角色 


为 了 保证 服务 器 的 安全 ， 仅 选择 所 需要 的 服务 器 角色 即 可 ， 如 选择 多 余 的 服 
® 务 器 角色 ， 会 增加 Windows Server 2008 系统 的 安全 隐患 。 "] 
接 下 来 ， 在 弹出 的 对 话 框 中 依次 单 击 【下 一 步 】 按 钮 ， 配 置 其 他 服务 、 未 指定 的 服务 、 
确认 对 服务 的 更 改 ， 从 而 完成 对 指定 服务 器 角色 的 安全 策略 配置 。 直 到 在 弹出 的 【处 理 未 指 
定 的 服务 】 对 话 框 中 ， 选 中 【不 更 改 此 服务 的 启动 模式 】 单 选 按钮 ， 并 单 击 【 下 一 步 】 按 钮 ， 
如 图 4-17 所 示 。 
在 该 对 话 框 中 ， 提 供 两 种 处 理 未 指定 服务 的 方式 ， 每 种 方式 说 明 如 下 。 
口 不 更 改 此 服务 的 启动 方式 ”如果 选择 该 方式 ， 那 么 在 应 用 此 安全 策略 的 服务 器 上 启用 
的 未 指定 服务 将 保持 启用 状态 ， 而 禁用 的 那些 服务 将 保持 禁用 状态 。 
口 禁用 此 服务 ”如 果 选 择 该 方式 ， 那 么 不 在 安全 配置 数据 库 中 的 或 未 安装 在 选 定 服务 器 
上 的 所 有 服务 都 将 被 禁用 。 
在 弹出 的 【网 络 安全 】 对 话 框 中 ， 开 始 配 置 与 服务 器 相关 的 Windows 防火 墙 规则 ， 建 议 
禁用 【 跳 过 这 一 部 分 】 复 选 框 ， 如 图 4-18 所 示 。 然 后 ， 单 击 【 下 一 步 】 按 钮 。 


处 理 林 指定 的 服务 


上 网 络 安全 


Mn tat 


色 的 计 其 机 不 能 与 村 他 计算 机 进 


: 


加 日 你 过 此 部 分 ， 此 安全 短 榨 插 不 外 信 防 火 二 设置 。 


了 荣 有 关 加 给 安全 和 使 用 scY 管理 习作 安全 风险 的 说 信 让 


《上 -此 an [TED a 2 7 | 


图 4-17 选择 未 指定 服务 的 处 理 方式 图 4-18 【网 络 安全 】 对 话 框 
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操作 系统 加 固 


在 【网 络 安全 规则 】 对 话 框 中 ， 
青 规 则 ， 如 图 4-19 所 示 。 
Windows 防火 墙 规则 ， 则 可 


默认 显示 所 有 选 定 角色 和 其 他 选项 所 需 的 Windows 防火 
如 果 在 【网 络 安全 规则 】 
[以 单 击 【 添 加 】 按 钮 。 


对 话 框 中 的 列表 内 没有 列 出 需要 使 用 的 


在 弹出 的 对 话 框 中 的 【名 称 】 文 本 框 内 输入 规则 名 称 〈 如 www)， 如 图 4-20 所 示 。 为 了 


便于 区 分 ， 
定 】 按 钮 。 


pe nds 防火 浓 规 则 。 启 用 了 选 定 季 规 Fi 


二 看 W); [所 有 观 风 了 


火 坪 规 则 - 系统 ~ TC? 习 


火 增 可 出 ~ 系统 -UDP 
擅 规 岂 
运程 访问 防火 墙 规则 
后》 scW 运程 访问 防火 墙 规则 
隐 多 交 件 和 林 印 机 共享 0 
厅 > 文件 和 打印 机 共享 0 
加 4 文件 和 打印 人 共享 gm 
>» 六 位 和 Tn 机 站 训 I 


FE 坊 强 人 和 厅 


了 期 有 关 葡 看 各 管理 讯 员 时 插 组 信息 


《上 - 步 @) | 下-- 步 吕 >| 取 商 


图 4-19 网络 安 全 规则 


还 可 以 输入 相关 的 描述 信息 。 另 外 ， 还 可 以 设置 限制 连接 方式 。 最 后 ， 单 击 


沃 加 误 风 (ww) x 


【 确 


常规 。 | 者 友和 服务 | 址 充 冯 | 作用 域 | 
| 训 具 CN 
者 ~ 


» 


| 


图 4-20 添加 规则 


在 【注册 表 设 置 】 对 话 框 中 ， 通 过 该 设置 可 以 修改 Windows Server 2008 服务 器 注册 表 中 
的 一 些 特殊 键 值 ， 从 而 严格 限制 用 户 的 访问 权限 ， 建 议 用 户 禁 用 【 跳 过 这 一 部 分 】 复 选 框 ， 
单 击 【 下 一 步 】 按 钮 ， 如 图 4-21 所 示 。 

在 【要 求 SMB 安全 签名 】 对 话 框 中 ， 可 以 配置 SMB 安全 签名 选项 ， 默 认 已 启用 【所 有 
连接 到 它 的 计算 机 满足 下 列 最 低 操作 系统 要 求 】 和 【 它 有 剩余 的 处 理 器 能 力 ， 可 以 用 来 给 文 
件 和 打印 通讯 签名 】 复 选 框 ， 如 图 4-22 所 示 。 然 后 ， 单 击 【 下 一 步 】 按 钮 。 
安全 本 加 向 导 | 

注册 表 设置 pr 消息 块 oun) 宙 全 巷 名 。 读 
A 人 he 
昌 2 所 这 妆 2HE9 计 其 机 是 下 到 昌 人 扣 作 和 统 要 来 0); 
indews NT 4.0 Service Pack 6: 新 
下 和 时 is 如 Direetery Servi i he 
" ee 
把 它 有 剩 宗 的 外 至 善 能 力 ， 梧 以 用 来 纶 文 牢 和 打 纯 通讯 其 名 GB) 
BD 本 
如 果 您 跳 过 这 一 部 分 ， 此 安全 第 团 将 干 配置 主 册 表 设置 = 
eh as at\Services\LanlanServer \Tarameters 
了 菜 有 关 0B 它 全 蔡 名 8 吏 多 信息 
了 前 有 关注 册 专 设 兰 的 更 条 信息 " 
《上 - 步 四 [E 芝 机 司 。 了 少 3 哨 


图 4-21 注册 表 设 置 


图 4-22 设置 SMB 安全 签名 


第 二 篇 “网络 操作 系统 安全 


在 【出 站 身份 验证 方法 】 对 话 框 中 ， 如 果 是 在 域 网 络 中 进行 远程 登录 ， 那 么 启 
户 】 复 选 框 即 可 ;， 如果 是 工作 则 启用 【远程 计算 机 上 的 本 地 账户 】 复 选 枉 ， 并 单 击 


【下 一 步 】 按 钮 ， 


SMB 协议 为 Microsoft 文件 和 打印 共享 以 及 许多 其 他 网 络 操作 ( 如 远程 管 


理 ) 


提供 基础 。SMB 协议 支持 SMB 数据 包 的 数字 签名 。 此 策略 设置 确定 在 允许 


与 SMB 客户 端 进行 进一步 通信 之 前 ， 
上 Microsoft 网 络 客户 端 同意 进行 SMB 数据 包 签名 ， 否 则 ， 


启用 此 设置 ， 除 3 


是 否 必 须 协商 SMB 数据 包 签 名 。 如 果 


网 络 服务 器 不 会 与 该 客户 端 进行 通信 。 


日 环 境 ， 
如 图 4-23 所 示 。 


用 【 域 账 


在 【出 站 身份 验证 使 用 本 地 账户 】 对 话 框 中 ,启用 【Windows NT 4.0 Service Pack 6a 或 更 


新 的 操作 系统 】 复 选 框 ， 并 单 


性 有 如 下 


出 站 身份 验证 方法 
下 列 信息 用 于 确定 在 进行 出 站 连接 时 LA Wanagsr 的 身份 给 证 等 级 


选择 选 定 的 服务 器 用 来 对 运程 
厂 域 帐户 中 ) 


远程 计算 


厂 在 Yiniows 号、Windovs 96 或 Wiadovs 上 llenniwm 2dition 上 的 文件 共享 证 码 GE) 


让 hi 


Yneonpot 


了 解 有 天 出 站 和 从 验证 斑 法 的 更 条 信息 ， 


二 【下 一 步 】 按 钮 ， 
说 明 。 


时 
启用 [站 
机 上 的 本 地 帐户 已) 


ibilitylewsl 的 值 * 


《< 上- 步 中 取消 


图 4-23 设置 出 站 身份 验证 方法 


出 站 身份 验证 使 用 本 地 帐户 


如 图 4-24 所 示 。 在 该 对 话 框 中 对 这 两 种 属 


下 列 信 息 用 于 确定 在 进行 出 沾 主 按时 LW Wenager 的 身份 妈 证 等 级 


园 定 的 服务 器 使 用 本 地 号 户 连接 到 的 计算 机 拥有 下 列 必 性: 


启用 
et st to Service rock te ee 


"er 


和 
分 钟 。 运行 Wadow: 


区 HELM\Syst em\Curr entControlset\Control\LSA 
lneonpatitilitylevsl 的 值 


了 艇 有 关 信用 本 奴 幅 户 浊 行 蛤 下 的 环 多 信息 。 


一 到 | 


图 4-24 【出 站 身份 验证 使 用 本 地 账户 】 对 话 框 


口 Windows NT 4.0 Service Pack 6a 或 更 新 的 操作 系统 


上 


于 确定 连接 到 该 服务 器 的 客户 端 支持 身份 验证 。 运 行 Windows NT 4.0 Service Pack 4 


(SP4) 以 及 更 低 版 本 的 计算 机 不 支持 身份 验证 。 另 外 ， 运 行 Windows 95 和 Windows 98 的 计 


算 机 


时 名 
机 ， 则 表 
在 弹 
按钮 。 
并 确定 
议 用 


检查 客户 


不 支持 身份 验证 

口 与 选 定 的 服务 器 的 时 钟 进行 同步 的 时 钟 
满足 使 用 身份 验证 的 要 求 。 身 份 验证 需要 进行 同步 。 较 旧 的 系统 不 使 用 
同步 。 如 果 网 络 只 包含 运行 Windows 2000、Windows XP 或 Windows Server 2003 的 计算 


端 是 否 


示 用 户 的 环境 会 使 用 时 钟 同步 。 
出 的 【 注 


Ud 


E 册 表 设 置 摘要 】 对 话 框 中 ， 确 认 注册 表 设 置 正确 无 误 后 直接 单 击 【 下 一 步 】 
全 【审核 策略 】 对 话 框 中 ，Windows 审核 策略 3 


要 用 


核 日 志 记 录 中 的 相关 内 容 ， 


于 审 


受 影响 的 系统 对 象 。 安 全 策略 回 滚 功能 是 无 法 回 滚 安全 向 导 中 的 审核 策略 设置 的 。 建 


户 禁用 【 跳 过 这 一 部 分 】 复 选 框 ， 单 击 【 下 一 步 】 按 钮 ， 如 


图 


4-25 所 示 。 


在 【系统 审核 策略 】 对 话 框 中 ， 选 中 【审核 成 功 的 操作 】 单 选 按钮 ， 并 单 击 【 下 一 步 】 


按钮 ， 如 


图 


4-26 所 示 。 在 该 对 话 框 中 包括 3 种 审核 目标 ， 


每 种 审核 目标 有 如 下 说 明 。 


a 


操作 系统 加 固 
| 安全 配置 向 导 x| 安全 配置 向 导 E34 
审核 策略 pt 认 


ER 


1 


A 时 这 有 中居 训 卫生 人 人 和 二 有 二 


厂 趴 过 这 一 部 分 5) 
如 果 匈 中 过 这 一 部 分 ， 此 支 全 证 辐 村 不 去 本 于 市 以 * 


了 和解 有 关 定 校 惫 略 的 更 多 信 息 < 了 莫 有 天 于 棱 疹 咯 的 更 多 信息 " 
ow | [9 my | 
图 4-25 【审核 策略 】 对 话 杠 图 4-26 选择 审核 目标 


口 不 审核 不 执行 任何 审核 。CPU 周期 和 磁盘 空间 空闲 下 来 ， 以 便 可 以 提高 其 他 进程 的 
性 能 。 

口 审核 成 功 的 操作 ”与 审核 成 功 和 不 成 功 的 操作 相 比 ， 审 核 成 功 的 操作 可 以 减少 事件 日 
志 的 项 数 . 使 用 此 选项 将 只 记录 用 户 实际 访问 的 内 容 , 而 不 记录 用 户 尝 试 访问 的 内 容 。 

口 审核 成 功 和 不 成 功 的 操作 用户 除了 要 使 用 审核 事件 来 记录 成 功 完 成 的 事件 之 外 ， 还 
要 记录 用 户 对 无 权 访问 区 域 的 尝试 事件 。 


除非 用 户 需要 定期 查看 安全 上 日志， 否则 ， 不 要 选中 【审核 成 功 和 不 成 功 的 操 
作 】 单 选 按钮 。 如果 用 户 尝 试 访问 无 权 访问 的 资源 ， 可 能 会 产生 许多 失败 审 
核 ， 从 而 填 满 安全 日 志 ， 当 安全 日 志 被 填 满 后 ， 将 覆盖 最 早 的 审核 项 。 


下 一 步 】 按 钮 ， 如 图 


在 【审核 策略 摘要 】 对 话 框 中 ， 确 保 审核 选择 正确 无 误 后 ， 单 击 
4-27 所 示 。 

在 【保存 安全 策略 】 对 话 框 中 ， 直 接 单 击 【 下 一 步 】 按 钮 ， 在 弹出 的 【安全 策略 文件 名 】 
对 话 框 中 ， 设 置 安全 策略 文件 名 及 保存 路 径 ， 如 图 4-28 所 示 。 然 后 ， 单 击 【下 一 步 】 按 钮 。 


Er y 
而 
ri | 柜 寺 拼 是 正确 的 。 安全 漂 克 文件 名 
TR WAAR 记 条 使 和 提供 9 名 和 守 反 示 保 让 安全 壬 表 文 证 ， Fa 
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图 4-27 查看 审核 策略 摘要 信息 图 4-28 设置 安全 策略 文件 名 及 路 径 


第 二 篇 “网 络 操作 系统 安全 


单 击 【 包 括 安全 模板 】 按 钮 ， 还 可 以 向 当前 安全 策略 中 添加 其 他 安全 模板 中 
的 安全 规则 ， 这 些 规则 将 拥有 较 高 的 优先 级 。SCW 回 滚 功能 将 无 法 回 滚 已 经 


应 用 的 策略 模板 中 的 规则 设置 。 


在 【应 用 安全 策略 】 对 话 框 中 ， 如 果 选 中 【现在 应 


MY 
务 器 。 
按钮 ， 完 成 安全 策略 的 设置 。 
4.3.3 应 用 安全 配置 策略 

使 用 安全 配置 向 导 创建 的 安全 策略 , 可 以 
直接 应 用 于 所 有 运行 Windows Server 2008 或 
者 Windows Server 2003 SP1/SP2/R2 操作 系统 


的 网 络 服 务 器 。 但 在 大 规模 应 用 安全 策略 之 前 
必须 对 其 进行 严格 的 测试 , 确认 可 行 之 后 方 可 


oe 


进行 部 署 及 应 用 。 在 应 用 安全 策略 之 后 ,必须 


重启 计算 机 才能 使 安全 配置 策略 生效 。 


I1【 管 理工 具 】 


出 


在 【配置 操作 】 对 话 框 中 ， 选 中 【应 用 


要 应 用 安全 配置 策略 ， 需 要 执行 【开始 】 
【安全 配置 向 导 】 命 令 ， 在 弹 
对 话 框 中 直接 单 击 【 下 一 步 ) 按钮。 然后， 


】 单 选 按 钮 ， 可 以 将 安全 策略 立即 


日 到 当前 服务 器 ， 但 建议 选中 【 稍 后 应 用 】 单 选 按钮 ， 当 该 安全 策略 测试 之 后 再 应 用 到 服 
然后 ， 单 击 【下 一 步 】 按 钮 ， 如 图 4-29 所 示 。 最 后 ， 在 弹出 的 对 话 框 中 单 击 【 完 成 】 


全 策略 
访 可 以 现在 或 稍 后 持 安全 第 略 应 月 到 选 定 的 服务 器 。 


全 稍 后 应 用) 
和 后 二 次 运行 六 向 号 以 应 用 安全 第 哆 。 


个 观 在 应 姑 品 ) 
如 果 您 单 击 “下 一 步 ”， 册 问号 将 x 中 先 宗 服务 器 应 用 此 宏 全 第 四 。 


了 逢 有 天 应 用 安全 莉 肯 的 更 条 和 信息。 


Li] 


图 4-29 ” 稍 后 应 用 安全 策略 


现 有 安全 策略 】 单 选 按钮 ， 并 通过 单 击 【 浏 览 】 按 钮 ， 


选择 现 有 安全 策略 文件 ， 如 图 4-30 所 示 。 然 后 ， 单 击 【 下 一 步 】 按 钮 。 
在 【选择 服务 器 】 对 话 框 中 的 【服务 器 】 文 本 框 内 输入 安全 策略 的 名 称 或 IP 地址 。 如 果 
目标 服务 器 为 远程 主机 ， 则 应 单 击 【指定 用 户 账户 】 按 钮 ， 选 择 连 接 到 指定 主机 部 署 安全 策 


略 所 使 用 的 用 户 账户 及 凭证 。 然 后， 单 击 【下 一 步 】 按 钮 ， 如 图 4-31 所 示 。 
安全 配置 向 导 EE 安全 配置 向 号 
配置 操 作 FE 迁 择 服务 器 本 
煞 央 个 新 的 安全 第 罗 ! 编辑 或 应 用 一 个 现在 的 安全 第 险 ! 或 回 我 上 一 次 应 用 的 四 此 安全 第 鸭 构 应 用 到 您 选择 由 BR 务 车 了 
过 择 更 内行 的 操作 : 过 拉 你 想 要 应 用 安全 第 由 的 服务 器 
太吉 于 安 全 第 昌 C) 
人 编 并 现 有 去 全 第 只 有 全 输入 Jus zin 正二 
再 表 安全 种 史 文 件 0 ED 2 六 将 户 由 户 过 定 有 务 央 上 
FE Windons secarity nseew Poli cies\ 1K xnT Er Re 
其 让 用 张 户 0n 
了 解 有 关 巡 兰 接 作 有 更 多 信息 了 币 有 关 运 榜 和 配 竺 服 务 尖 组 的 更 银 信息 
《上 -Sm [FSET 。 下 肖 《上 - 步 四 取消 


图 4-30 设置 配置 操作 


图 4-31 选择 服务 器 


在 【应 用 安全 策略 】 对 话 框 中 ， 通 过 单 击 【 查 看 安全 策略 】 按 钮 ， 可 以 查看 所 选 安全 策 
略 的 描述 信息 ， 在 查看 之 后 单 击 【 下 一 步 】 按 钮 即 可 ， 如 图 4-32 所 示 。 

将 安全 策略 应 用 到 本 地 计算 机 大 概 需 要 几 分 钟 时 间 ， 应 用 到 远程 计算 机 中 所 需要 的 时 间 
可 能 更 长 一 些 ， 当 应 用 完成 后 ， 直 接 单 击 【下 一 步 】 按 钮 即 可 。 然 后 ， 在 【正在 完成 安全 配 
置 向 导 】 对 话 框 中 ， 直 接 单 击 【 完 成 】 按 钮 ， 如 图 4-33 所 示 。 最 后 ， 重 新 启动 计算 机 ， 使 应 
用 的 安全 策略 生效 即 可 。 


ViniowsvsecwritywmsscviPeliciesVslkj xnl 
es 请 重新 运行 此 名 


项 要 关闭 此 向导 ， 请 单 而 “完成 ”。 


图 4-32 ”应 用 安全 策略 图 4-33 ”完成 安全 配置 向 导 


4.4 默认 共享 


默认 共享 是 在 系统 安装 完毕 后 就 自动 开启 的 共享 ， 也 叫 管理 共享 ， 常 被 管理 员 用 于 远程 
管理 计算 机 。 但 是 ， 对 个 人 用 户 来 说 默认 共享 有 时 是 不 安全 的 ， 如 果 计 算 机 联网 ， 那 么 网 络 
上 的 一 些 黑客 可 以 通过 连接 用 户 的 计算 机 实现 对 这 些 默 认 共享 的 访问 。 因 此 ， 需 要 用 户 合理 
地 管理 默认 共享 。 


4.4.1 查看 默认 共享 


在 Windows 2000/XP 及 更 高 的 版 本 的 操作 系统 中 ,默认 开启 的 共享 包括 “C$”“D$” 等 
所 有 的 逻辑 盘 以 及 “admin$” 和 “ipc$”， 这 些 共享 都 有 “$” 标 志 ， 表 示 是 隐 含 的 。 用 户 可 以 
在 【运行 】 对 话 框 中 输入 “\N 计 算 机 名 \ 盘 符 $” 对 这 些 默认 共享 资源 进行 访问 。 如 果 要 查看 默 
认 共 享 资源 可 以 通过 如 下 两 种 方法 实现 。 


[人 使 用 netshare 命令 


首先 ， 执行 【开始 】| 【运行 】 命 令 ， 在 弹出 的 【运行 】 对 话 框 中 ， 输 入 cmd 命令 ， 并 单 
击 【 确 定 】 按 钮 ， 如 图 4-34 所 示 。 
在 【管理 员 : 命令 提示 符 】 窗 口中 ， 输 入 net share 命令 ， 并 按 回 车 键 ， 即 可 查看 到 所 有 


默认 共享 资源 ， 如 图 4-35 所 示 。 


icrosoft Windows [版 本 6-89.6882] 
版 权 所 有 《cy》2BB6 Micresefs Corporation。 保 留 所 有 权利 。 


图 4-34 输入 cmd 命令 图 4-35 查看 默认 共享 


首先 执行 【开始 】I1 【管理 工具 】| 【计算 机 管理 】 命令 , 在 【计算 机 管理 】 窗 口中 展开 【 共 
享 文件 夹 】 节 点 ， 并 单 击 【 共 享 】 选 项 。 然 后 ， 在 右 侧 窗 格 中 即 可 查看 到 默认 共享 资源 ， 如 
图 4-36 所 示 。 


4.4.2 ”停止 默认 共享 


默认 共享 主要 是 为 了 方便 网 络 管理 员 管 理 网 络 中 的 计算 机 ， 特 别 是 在 基于 域 环境 的 网 络 
当中 ， 专 门 有 几 个 默认 共享 用 于 存储 用 户 配 置 文件 ， 是 非常 方便 的 。 但 是 ， 默 认 共享 在 方便 
管理 员 管 理 的 同时 ， 也 给 计算 机 带 来 了 安全 隐患 。 如 果 知道 了 管理 员 的 账号 和 密码 ， 那 么 任 
何人 都 能 够 访问 计算 机 ， 所 以 如 果 管 理 员 账户 和 密码 被 恶意 用 户 窃取 ， 对 于 计算 机 的 安全 性 
来 讲 是 非常 不 利 的 。 如 果 在 网 络 中 没有 使 用 默认 共享 的 必要 ， 建 议 用 户 将 系统 的 默认 共享 关 
闭 ， 从 而 进一步 保证 计算 机 的 安全 性 。 


与 查看 默认 共享 基本 相同 , 以 管理 员 身份 打开 【管理 员 : 命令 提示 符 】 窗口, 输入 net share 
ADMINS /DELETE 命令 ， 并 按 回 车 键 ， 可 查看 到 ADMINS 已 经 删除 信息 ， 如 图 4-37 所 示 。 


计 竹 机 管理 rr 


图 4-36 【计算 机 管理 】 窗 口 图 4-37 删除 ADMINS 默 认 共 享 


使 用 同样 的 方法 ， 还 可 以 删除 C$S、D$、G$、IPCS$ 等 默认 共享 。 在 “/DELETE” 前 必须 
要 有 空格 。 另外, 可 以 使 用 “net share ADMINS” 命 令 或 “net share IPC$” 命 令 建 立 “ADMINS” 
或 “IPC$” 共 享 (如 果 共 享 存在 ， 则 为 显示 共享 )， 但 是 ， 其 他 共享 则 不 能 通过 该 方法 来 建立 
默认 共享 。 

如 果 需 要 删除 所 有 的 默认 共享 ， 还 可 以 使 用 脚本 命令 〈 批 处 理 文件 方式 ) 来 完成 ， 即 建 
立 一 个 .bat 文件 ， 在 该 文件 中 输入 如 下 内 容 ， 如 图 4-38 所 示 。 

然后 ， 双 击 该 .bat 文件 ， 在 弹出 的 【命令 提示 符 】 窗 口中 ， 即 可 查看 到 所 有 默认 共享 都 被 
删除 的 信息 ， 如 图 4-39 所 示 。 


图 4-38 批 处 理 文件 内 容 图 4-39 通过 批 处 理 文件 删除 默认 共享 


用 户 可 以 根据 需要 分 别 删除 默认 共享 的 盘 符 ， 该 批 处 理 文件 可 以 通过 双击 执行 ， 也 可 以 
在 命令 提示 符 下 运行 或 者 添加 到 启动 项 中 。 


[ 2 关闭 Server 服务 停止 默认 共享 “ 


默认 共享 使 用 的 是 计算 机 系统 的 Server 服务 ， 如 果 将 该 服务 关闭 ， 就 可 以 直接 删除 默认 
共享 。 

首先 ， 执行 【开始 】I【 管 理工 具 】| 【服务 】 命 令 , 在 打开 的 【服务 】 窗 口中 ， 右 击 Server 
选项 ， 并 执行 【属性 】 命 令 ， 如 图 4-40 所 示 。 

在 弹出 的 【Server 的 属性 (本 地 计算 机 )】 对 话 框 中 ， 单 击 【 启 动 类 型 】 下 拉 按 钮 ， 选 择 
【禁用 】 选 项 ， 然 后 ， 单 击 【 停 止 】 按 钮 ， 如 图 4-41 所 示 。 最 后 ， 单 击 【确定 】 按 钮 。 


4-41 禁用 Server 服务 


再 次 打开 【命令 提示 符 】 窗 口 ， 输 入 net share 命令 ， 并 按 回 车 键 ， 可 看 到 Server 服务 没 
有 启动 的 提示 ， 此 时 直接 输入 “n”， 按 回 车 键 退出 即 可 ， 如 图 4-42 所 示 。 

即使 用 户 输入 “y”， 也 会 查看 到 无 法 启动 该 服务 的 提示 。 另 外 ， 使 用 这 种 方法 停止 默认 
共享 后 ， 其 他 共享 也 将 同时 被 取消 。 


使 用 net share 命令 和 关闭 Server 服务 停止 默认 共享 时 ， 当 系统 重新 启动 后 ， 默 认 共 享 会 
重新 恢复 。 如 果 用 户 需要 永久 性 地 停止 系统 默认 共享 ， 可 以 通过 修改 注册 表 的 方法 来 实现 该 
目的 。 停 止 系统 默认 共享 的 键 值 ， 在 默认 情况 下 的 Windows 操作 系统 上 并 不 存在 ， 需 要 用 户 
手动 添加 该 键 值 ， 修 改 后 重新 启动 计算 机 使 该 键 值 生效 即 可 。 

首先 ， 执 行 【开始 】 人 民运 行 】 命 令 ， 在 弹出 的 对 话 框 中 输入 regedit 命令 ， 并 单 击 【 确 定 】 
按钮 ， 如 图 4-43 所 示 。 
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4-42 ”关闭 Server 服务 后 4-43 ”输入 regedit 命令 


在 打开 的 【注册 表 编 辑 器 】 窗 口中 ， 依 次 展开 HKEY _ LOCAL MACHINE\SYSTEM\ 
CurrentControlSet\Services\LanmanServer 节点 ， 并 选择 AutotunedParameters 选项 。 然后， 在 右 
侧 窗 格 的 任意 空白 位 置 右 击 ， 并 执行 【新 建 】|【DWORD (32 位 ) 值 】 命 令 ， 如 图 4-44 所 示 。 

新 建 一 个 名 为 Autoshareserver 的 DWORD 值 ， 并 将 其 赋值 为 “00000000”， 如 图 4-45 
所 示 。 


4-44 【注册 表 编 辑 器 】 窗 口 图 4-45 创建 DWORD 值 
4.4.3 ”设置 隐藏 共享 


通常 ， 用 户 可 以 通过 网 上 邻居 查看 或 者 访问 其 他 计算 机 上 的 共享 资源 ， 但 其 中 并 不 包括 


隐藏 共享 。 因 此 ， 设 置 隐藏 共享 也 是 保护 共享 资源 安全 的 一 种 常用 方法 。 这 里 访问 者 必须 使 
用 准确 的 共享 名 才 可 以 访问 。 

在 【计算 机 】 窗 口中 ， 右 击 想 要 设置 隐藏 共享 的 文件 夹 ( 以 backup 文件 夹 为 例 )， 并 执 
行 【属性 】 命令， 如 图 4-46 所 示 。 

在 弹出 的 对 话 框 中 切换 到 【共享 】 选 项 卡 ， 并 单 击 【高 级 共享 】 按 钮 ， 如 图 4-47 所 示 。 


齐 贞 。 共享 | 安全 | 以 有 版本 | 自 定义 | 


图 4-46 ”执行 【属性 】 命 令 图 4-47 【backup 属性 】 对 话 框 


在 【高 级 共享 】 对 话 框 中 启用 【共享 此 文件 夹 】 复 选 框 ， 并 在 【共享 名 】 文 本 框 中 显示 
的 默认 名 称 后 追加 “$”， 如 图 4-48 所 示 。 当 然 ， 也 可 以 设置 其 他 共享 名 ， 但 隐藏 共享 必须 以 
“8” 结尾 。 

网 络 中 的 其 他 计算 机 无 法 直接 通过 资源 管理 器 访问 隐藏 共享 ， 然 而 可 以 在 任意 地 址 栏 中 
输入 “\ 服 务 器 \ 共 享 名 ”进行 访问 ， 但 此 时 的 共享 名 中 也 包括 特殊 字符 “$”， 如 输入 
“W192.168.0.100\backup$” 即 可 访问 该 隐藏 共享 文件 中 的 内 容 ， 如 图 4-49 所 示 。 
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图 4-48 设置 隐藏 共享 图 4-49 查看 隐藏 共享 文件 内 容 


4.4.4 殉 管 心得 一 一 和服 秒 丽 务 列 寻 注意 志 贾 


任何 网 络 服务 的 安装 都 建立 在 系统 服务 的 基础 上 ， 因 此 做 好 系统 服务 安全 是 系统 安全 和 
网 络 安全 的 重要 环节 。 任 何 服务 都 可 能 存在 漏洞 ， 但 也 不 能 因此 而 置之不理 ， 最 好 的 方案 就 
是 通过 一 切 可 行 方法 ， 确 保 系统 服务 的 安全 ， 如 禁用 非 必要 的 服务 、 设 置 服务 访问 权限 等 。 
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在 配置 系统 服务 时 应 注意 以 下 事项 。 


口 根据 服务 的 描述 及 业务 的 需求 ， 确 定 是 否 使 用 该 服务 。 


口 如 对 系统 可 能 造成 的 影响 不 了 解 ,那么 
应 该 在 测试 环境 中 测试 验证 通过 之 后 ， 
再 在 应 用 环境 中 部 署 。 
口 对 于 安装 应 用 程序 时 同步 安装 的 服务 ， 
如 果 没 有 必要 ， 应 该 将 其 关闭 。 

在 Windows Server 2008 中 , 通过 执行 【 开 
始 】| 【管理 工具 】| 【服务 】 命 令 ， 在 打开 的 
【服务 】 窗 口中 ， 可 以 查看 到 本 地 计算 机 中 所 
有 的 服务 ， 如 图 4-50 所 示 。 

对 于 系统 服务 的 处 理 不 同 于 其 他 设置 ， 因 
为 所 有 服务 的 漏洞 、 对 策 及 潜在 影响 在 本 质 上 
都 一 样 。 安 装 Windows Server 2008 操作 系统 
时 , 系统 在 启动 时 创建 并 配置 默认 服务 。 其 中 ， 
有 些 服务 在 组 织 环境 中 并 不 需要 ， 但 在 Windo' 
兼容 性 或 者 辅助 进行 系统 管理 。 


4.5 操作 实例 


4.3.1 拉 作 容 疯 一 向 用 广 
Windows 中 每 一 项 服务 都 对 应 相应 的 端口 


= 


者 人 A 


口 具体 到 每 个 服务 的 内 容 和 功能 ， 需 要 参考 微软 的 说 明 及 咨询 业内 安全 专家 。 
口 禁止 或 者 设置 成 手动 启动 的 方式 处 理 系统 非 必要 的 服务 。 


lolx| 


诡 御 gE) 损 作 WD 二 和 WW 大助 00 
CE 


图 4-50 ”本 地 计算 机 默认 服务 列表 
ws 中 仍 被 启用 ， 用 于 确保 应 用 程序 或 客户 端的 


， 如 WWW 服务 的 端口 是 80，ftp 服务 的 端口 


是 21， 使 用 【本 地 安全 策略 】 命 令 禁用 不 必要 的 端口 ， 控 制 端口 服务 ， 可 有 效 地 提升 计算 机 


安全 ， 不 被 黑客 入 侵 。 


@ 1. 实例 目的 门 


口 创建 下 安全 策略 。 
口 第 选 数据 包 。 
口 加 国 系统 ， 保 护 系统 安全 。 


@ 实例 步骤 门 


(1) 在 桌面 执行 【开始 】|【 程 序 】|【 管 理 


工具 】|【 本 地 安全 策略 】 命 令 ， 在 打开 的 窗口 


中 ， 右 击 左 侧 窗 格 中 的 【他 安全 策略 ， 在 本 地 计算 机 】 选 项 ， 并 执行 【创建 下 安全 策略 】 命 


令 ， 如 图 4-51 所 示 。 


(2) 在 弹出 的 【P 安全 策略 向 导 】 对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 4-52 所 示 。 
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文件 四 “操作 内 查看 WW 帮助 如 歌 迎 使 用 “If 安全 策 咯 向 导 ”, 


SN 
拐 安全 最 多 时 关 要 天草 ,二 《 
僵 裤 户 请 ( 民 只 应 

便 时 多 器 全 下 安全 ) 


® DES 


管理 开 第 巡回 衣 和 请 达 器 嵌 作 旭 ， 
所 有 纤 各 和) (19) 
查看 中 

出 新 玫 ) 


号 出 列 家 
者 助 0 


ED CC 下 
图 4-51 创建 耳 安全 策略 图 4-52 【IP 安全 策略 向 导 】 对 话 框 
(3) 在 【IP 安全 策略 名 称 】 对 话 框 的 【名 称 】 文 本 框 中 输入 策略 名 称 ， 如 “端口 策略 ”， 
单 击 【 下 一 步 】 按 钮 ， 如 图 4-53 所 示 。 
(4) 在 【安全 通讯 请 求 】 对 话 框 中 ， 禁 用 【激活 默认 响应 规则 】 复 选 枉 ， 并 单 击 【 下 一 
步 】 按 钮 ， 如 图 4-54 所 示 。 


I 安全 策略 名 称 
命名 这 个 IP 安全 第 略 并 且 结 出 一 个 简短 的 描述 


癌 革 三 


安全 通讯 请 地 
济 定 这 个 策 轨 如同 对 安全 通讯 的 请 宁 做 出 皮 区 。 EE 
号 
Ee i 


图 4-53 【IP 安全 策略 名 称 】 对 话 框 图 4-54 【安全 通讯 请 求 】 对 话 框 


(5) 在 【了 P 安全 策略 向 导 】 对 话 框 中 ， 单 击 【完成 】 按 钮 ， 如 图 4-55 所 示 。 
(6) 在 弹出 的 【端口 策略 属性 】 对 话 框 的 【规则 】 选 项 卡 中 ， 禁 用 【使 用 “添加 向 导 ”】 
复 选 框 ， 并 单 击 【 添 加 】 按 钮 ， 如 图 4-56 所 示 。 


IP 安全 入 略 向 导 


正 让 守 成 TF 安全 第 本 向 导 
容 已 成功 地 完成 指定 从 的 新 IP 安全 策 中 的 录 性 。 


i 


图 4-55 【IP 安全 策略 向 导 】 对 话 框 图 4-56 端口 【规则 】 选 项 卡 
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(7) 在 弹出 的 【新 规则 属性 】 对 话 框 的 【IP 筛选 器 列表 】 选 项 卡 中 ， 单 击 【 添 加 】 按 钮 ， 
如 图 4-57 所 示 。 
(8) 在 弹出 的 【IP 筛选 器 列表 】 对 话 框 的 【名 称 】 文 本 框 中 输入 名 称 ， 如 “端口 规则 ”， 
禁用 【使 用 “添加 向 导 ”】 复 选 框 ， 然 后 单 击 【 添 加 】 按 钮 ， 如 图 4-58 所 示 。 
ee 依 渤 加 六 作 | 身份 对 证 方法 | 隧道 认 加 | 连 闪闪 型 | = 
到。 史明 Te 人 Ht 有 


时 IP 敌 寺 芭 歼 去 回回 


了 训 过 器 天 表 [| 
至 a 这 样 ， 多 个 子 网 、IP 地 址 和 协议 可 被 


名 称 并 
品 所 有 INY 通读 县 匹配 询 寺 营 机 与 任 亲 其 性 计算 . 
〇 所 有 全 通读 量 EP 语音 机 型 任 亲 丰 由 1 算 


2 
[EE 
震中 i 


En asw | ww | 


三 使 用 " 放 加 向 导 "” 他) 
WR | BR 


x 


me 


图 4-57 【新 规则 属性 】 对 话 框 图 4-58 【IP 筛选 器 列表 】 对 话 框 


(9) 在 弹出 的 【筛选 器 属性 】 对 话 框 的 【 寻 址 】 选 项 卡 中 ， 选 择 【 源 地 址 】 下 拉 列 表 框 
为 【任何 儒 地 址 】 选 项 ， 选 择 【 目 标 地 址 】 下 拉 列 表 框 为 “我 的 于 地址 ”如 图 4-59 所 示 。 

(10) 在 该 对 话 框 的 【协议 】 选 项 卡 中 ， 选 择 【 选 择 协 议 类 型 】 下 拉 列 表 框 为 TCP 选项 ， 
如 图 4-60 所 示 。 


守 于 ”| 地 议 所 进 


河山 址 | 
任 可 IP 地 让 了 


| 太 鲁 售 ， 同 时 与 天 起 址 和 目标 地 址 正好 后 的 米 所 色相 PE 了 DO)。 


图 4-59 【筛选 器 属性 】 对 话 框 图 4-60 【筛选 器 属性 】 对 话 框 


(11) 在 【设置 下 协议 端口 】 栏 中 ， 选 中 【从 任意 端口 】 和 【到 此 端口 】 单 选 按钮 ， 并 在 
【到 此 端口 】 文 本 框 中 输入 “3389”， 然 后 单 击 【 确 定 】 按 钮 ， 如 图 4-61 所 示 。 

(12) 在 【IP 筛选 器 列表 】 对 话 框 中 ， 单 击 【 确 定 】 按 钮 ， 如 图 4-62 所 示 。 

(13) 在 【新 规则 属性 】 对 话 框 中 ， 选 中 【端口 规则 】 单 选 按钮 ， 并 选择 【筛选 器 操作 】 
选项 不， 如 图 4-63 所 示 。 


操作 系统 加 固 


图 4-61 【协议 】 选 项 卡 


三 IP 知 迁 血 列 到 


请 二 要 列表 忆 - 这样 。 多 个 子 网 、 匡 地 直 和 的 议 
至 到 个子 网 了 充 可 被 


MP 
厂 使 用 “ 系 加 向 导 ” 他 ) 


bl 
久 辑 人 E) 


村 坑口 
a 


图 4-62 【IP 筛选 器 列表 】 对 话 框 
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(14) 在 【筛选 器 操作 】 选 项 卡 中 ， 禁 用 【使 用 “添加 向 导 ”】 复 选 框 ， 并 单 击 【 添 加 】 
按钮 ， 如 图 4-64 所 示 。 


| 台中 作 | 身 人 对 下放 法 | 隐 才 和 | 这 撞 关 芭 


至 [a 选择 rpassnaumm 


击 各 办 .| 名 关 国 | WR) 


ER 
et 


图 4-63 了 JP 筛选 器 列表 


ET 


et 


按 尖 趟 安全 的 通讯， 但是 汪 下 
搂 失 不 实 并 岂 表 讯 ， 但 名 是 
多 洲 不 安全 的 I 铀 经 过 。 


图 4-64 【筛选 器 操作 】 选 项 卡 


(15) 在 弹出 的 【新 筛选 器 操作 属性 】 对 话 框 的 【安全 措施 】 选 项 卡 中 ， 选 中 【阻止 】 


单 选 按钮 ， 单 了 


(16) 在 


选 按钮 ， 并 单 寺 


oe 


WD 
7 MEI. 
rey 


EE TI 3 


1 


图 4-65 


【新 筛选 器 操作 属性 】 对 话 框 


二 【 确定】 按钮 ， 如 图 4-65 所 示 。 
【新 规则 属性 】 对 话 框 的 【筛选 器 操作 】 选 项 卡 中 ， 选 中 【新 筛选 器 操作 】 单 
二 【关闭 】 按 钮 ， 如 图 4-66 所 示 。 


寿 符 旋 考 穆 作 区 性 加 | 攻 


J 姜 s 淹 表 二 大 横 作 | 租价 证 方法 | 隐 道 计 | 连 接 区 齐 


Tt 


eR 

Ee WF 

[ET 控 只 十 安 通读 ,但 呈 洁 玉 
OE 

OF 和 有 二 安全 的 衣 计 但 如 是 
os 全 不安 48 TP 名 区 过。 


EP NW | “Ee 电 


ERS 


图 4-66 【新 规则 属性 】 对 话 框 
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(17) 在 【端口 策略 属性 】 对 话 框 中 ， 单 击 【关闭 】 按 钮 ， 如 图 4-67 所 示 。 
(18) 在 【本 地 安全 设置 】 窗 口中 ， 双 击 【 卫 安全 策略 ， 在 本 地 计算 机 】 选 项 ， 并 右 击 右 
侧 窗 格 中 的 【端口 策略 】 选 项 ， 执 行 【指派 】 命 令 ， 如 图 4-68 所 示 。 


于 


规则 | 常规 


2 es 
文件 四 ”操作 以 ) 查看 如 帮助 oD 
于 安全 规则 四) 

区 二 和 列表 [各 EE 放流 
回 闹 口 第 略 

口 sb» 


0 便 职 务 器 “6 清 求 安全 ) ”对 所 有 IF 通讯 总 是 
她 了 22% ,下 Stkital | 低语 
所 有 任务 区 ) > 


抽 除 印 ) 
重症 名 仙 


属性 (8) 
帮助 0D 


< > 
添加 钨 强 (E) 攻 除 中 | 厂 合用 “添加 向 导 ”D 


图 4-67 【端口 策略 属性 】 对 话 框 图 4-68 【本 地 安全 设置 】 窗 口 
(19) 重新 启动 计算 机 ， 使 本 地 安全 策略 生效 即 可 。 


Tcepview 工具 可 以 动态 查看 本 机 开放 了 哪些 端口 ,正在 与 哪 一 个 远程 端口 连接 ， 以 及 当前 
端口 状态 。 


@ 1. 实例 目的 门 
口 查看 本 机 当前 端口 。 
口 查看 远程 服务 端口 。 
口 查看 端口 状态 。 


CE 

(1) 在 桌面 双击 【Tcpview 汉化 版 】 应 用 程序 图 标 ， 如 图 4-69 所 示 。 

(2) 在 TCPView-Sysinternals:www.sysinternals.com 窗口 的 菜单 栏 中 ， 单 击 【 选 项 】 菜 单 ， 
并 执行 【字体 】 命 令 ， 如 图 4-70 所 示 。 

(3) 在 【TCPView 字体 】 对 话 框 中 的 【大 小 】 下 拉 列 表 内 ， 选 择 “9” 选 项 ， 然 后 单 击 
【确定 】 按 钮 ， 如 图 4-71 所 示 。 

(4) 在 TCPView-Sysintermals:www.sysinternals.com 窗口 中 ， 可 查看 到 “通信 协议 和 “本 
地 地 址 和 “远程 地 址 ”等 信息 ， 如 图 4-72 所 示 。 


Sa ew sw Hm 
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-5andEhSEaB zha nethi osrng 下 本 
1YL-35aDaEb56a6,zbarnattiorrdpn 


和 
Me 
Me 
i 
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Me 
Ne 


yl-bsaDiBb56 晤 :0 LISTENLNG 


ITP jy 
ES 30 240 245 224 LSTADLL 
GSysten Process]:0 TCF 5 hm kd ny adzla ,a TIIE_WATT 
BOtray. eze:378 。 UDP aEbSEdB 1025 


关闭 等 司 : 0 


图 4-71 调整 字体 大 小 图 4-72 查看 详细 信息 


Tcepview 第 一 次 运行 时 ,字体 很 小 , 需要 较 大 字体 时 ， 只 需 调 整 字体 大 小 即 可 。 


4.5.3” 操 市 完 何 前半 了 OP/JP 入 褒 : 
TCP/IP 筛选 器 是 一 个 Windows 自 带 的 功能 简单 的 防火 墙 ， 能 够 筛选 入 站 数据 ， 保 证 计算 
机 安全 。 


@ 1. 实例 目的 下 
口 屏蔽 不 安全 的 进 站 流量 。 
口 阻止 端口 入 站 数据 。 
口 提高 系统 安全 性 能 。 
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[ 2. 实例 步骤 ) 

(1) 执行 【开始 】| 【运行 】 命 令 , 在 【打开 】 文 本 框 中 ， 输 入 ftp://192.168.0.9 命 令 ， 并 
单 击 【 确 定 】 按 钮 ， 进 入 ftp://192.168.0.9 窗口 ， 如 图 4-73 所 示 。 

(2) 在 桌面 执行 【开始 】| 【设置 】| 【控制 面板 】 命 令 ， 如 图 4-74 所 示 。 


8 争 日 庚 闪 时 及 国 - 


增 直 四 加 fp /i918.0.9 
[EI _ ED aaer cu 
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BB Haternet Erplorer 
站 我 的 村 
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局 REE 


"网 打印 机 和 下 全 
加 任 各 栏 和 开放 | 区 单 吕 


证 铺 交 册 


关 且 + 草 机 


图 4-73 地 窗口 图 4-74 执行 【控制 面板 】 命 令 


(3) 在 【控制 面板 】 窗 口中 ， 双 击 【 网 络 连接 】 图 标 ， 如 图 4-75 所 示 。 
(4) 在 【网 络 连接 】 窗 口中 ， 右 击 【 本 地 连接 】 图 标 ， 并 执行 【属性 】 命 令 ， 如 图 4-76 
所 示 。 
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图 4-75 【控制 面板 】 窗 口 图 4-76 【网 络 连接 】 窗 口 


(5) 在 弹出 的 【本 地 连接 属性 】 对 话 框 的 常规 ] 选 项 卡 中 , 双击 【Intemet 协议 (TCP/IP)】 


第 4 


操作 系统 加 固 


选项 ， 如 图 4-77 所 示 。 
(6) 在 弹出 的 【Intemet 协议 (TCP/IP)〉 属性 】 对 话 框 中 , 单 击 【 高 级 】 按钮 ,如 图 4-78 
所 示 。 


Tateraet 协议 〔ICP/IP) 属性 
吉 sR = 


辑 果 且 时 支持 此 功能 ， 则 可 以 计 了 目 动 指派 掀 JP 设置。 再 则 ， 
侈 天 要 人 同志 条 毁 管 各 员 外 次 习 迁 当 的 IT 设置 。 
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EE 
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回 连 接 后 在 通知 区 域 显 未 图标 世 ) 
回 此 演 入 被 限制 或 无 连 六 时 通知 我 亿 ) 


Ce Cm 


图 4-77 【本 地 连接 属性 】 对 话 框 图 4-78 【常规 】 选 项 卡 


(7) 在 弹出 的 【高 级 TCP/IP 设置 】 对 话 框 中 ， 选 择 【 选 项 】 选 项 卡 ， 如 图 4-79 所 示 。 
(8) 在 【选项 】 选 项 卡 中 ， 单 击 【 属 性 】 按 钮 ， 如 图 4-80 所 示 。 
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图 4-79 【高 级 TCP/IP 设置 】 对 话 框 图 4-80 【高 级 TCP/IP 设置 】 对 话 框 


(9) 在 【TCP/IP 筛选 】 对 话 框 中 ， 启 用 【启用 TCP/IP 筛选 《所 有 适配器 )】 复 选 框 ， 
并 选中 【只 允许 】 单 选 按钮 ， 然 后 单 击 【 确 定 】 按 钮 ， 如 图 4-81 所 示 。 

(10) 返回 到 【本 地 连接 属性 】 对 话 框 中 ， 单 击 【确定 】 按 钮 ， 如 图 4-82 所 示 。 

(11) 在 弹出 的 【本 地 网 络 】 对 话 框 中 ， 单 击 【是 】 按 钮 ， 如 图 4-83 所 示 。 

(12) 在 桌面 执行 【开始 】| 人 【和 运行】 命令， 然后 在 【打开 】 文 本 框 中 输入 fp:/192.168.0.9 
命令 ， 并 单 击 【确定 】 按 钮 ， 查 看 访问 结果 ， 如 图 4-84 所 示 。 
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图 4-83 【本 地 网 络 】 对 话 框 图 4-84 【FTP 文件 夹 错误 】 对 话 框 
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在 服务 器 操作 系统 中 ， 安 全 策略 是 影响 服务 器 安全 性 的 主要 设置 之 一 。 而 所 有 的 安全 策 
略 都 是 基于 计算 机 配置 的 策略 。 为 了 保证 网 络 和 系统 的 安全 性 ， 管 理 员 可 以 根据 不 同 用 户 对 
网 络 的 访问 需求 ， 建 立 相 应 的 组 织 单位 OU)， 再 对 定制 的 组 织 单位 统一 部 署 安全 策略 ， 这 
对 用 户 端 数量 的 影响 取决 于 组 织 单位 中 用 户 的 多 少 。 

在 Windows Server 2008 中 , 提供 了 强大 的 安全 机 制 , 但 在 默认 状态 下 并 没有 配置 。 因此 ， 
需要 管理 员 根 据 实际 网 络 环境 进行 配置 。 本 章 从 账户 策略 、 审 核 策略 及 限制 用 户 登 录 、 安 全 
配置 和 分 析 等 方面 进行 介绍 ， 使 用 户 充 分 了 解 并 掌握 系统 安全 策略 。 


> 熟悉 账户 策略 和 审核 策略 

> 了 解 用 户 权限 及 掌握 限制 用 户 登 录 的 方法 
> 了 解 安全 配置 和 分 析 

> 熟悉 企业 系统 监控 安全 策略 

> 掌握 IPSec 安全 策略 


5.1 账户 策略 


目前 ， 企 业 或 单位 用 户 账户 的 保护 主要 通过 采用 密码 保护 机 制 来 实现 ， 为 了 避免 用 户 身 
份 因 密码 被 破解 而 被 他 人 夺取 或 盗用 内 部 资源 现象 的 发 生 ， 通 常 可 采取 提高 密码 的 破解 难度 、 
启用 账户 锁定 策略 、 限 制 用 户 登 录 、 限 制 外 部 连接 和 防范 网 络 嗅 探 等 措施 。 
所 有 的 安全 策略 都 是 基于 计算 机 配置 的 策略 。 账 户 策略 定义 在 计算 机 上 ， 然 而 可 以 影响 
户 与 计算 机 或 域 交互 作用 的 方式 。 账 户 策略 由 密码 策略 和 账户 锁定 策略 两 部 分 组 成 。 


5.1.1 密码 策略 


密码 是 用 户 登录 系统 和 网 络 的 唯一 赁 证， 如 果 密 码 丢失 也 就 无 法 登录 。 另 一 方面 ， 被 他 
人 获取 密码 会 给 计算 机 或 网 络 带 来 安全 隐患 。 

密码 策略 主要 用 于 域 或 本 地 用 户 账户 。 提 高 密码 的 破解 难度 主要 是 通过 提高 密码 复杂 性 、 
增加 密码 长 度 、 增 加 更 换 频率 等 措施 来 实现 ， 但 这 对 于 普通 用 户 来 讲 很 难 做 到 ， 因 此 ， 对 于 
企业 网 络 中 的 一 些 敏感 用 户 就 必须 采取 一 些 相关 措施 ， 以 强制 性 方式 来 改变 那些 不 安全 的 


密码 。 
在 Windows Server 2008 中 ， 系 统 默认 已 经 启用 了 用 户 账户 密码 策略 ， 通 过 执行 【 开 
始 】|【 管 理工 具 】|【 本 地 安全 策略 】 命 令 ， 在 打开 的 窗口 中 ， 展 开 【账户 策略 】 节 点 ， 并 选 


择 【 密 码 策略 ] 选 项 , 即 可 查看 到 所 有 的 密码 策略 ， 
如 图 5-1 所 示 。 人 


该 策略 用 于 强制 用 户 必须 使 用 经 过 复杂 设置 “| 六 9 
的 密码 ， 通 常 要 求 密码 必须 满足 以 下 条 件 。 
口 不 包含 全 部 或 部 分 的 用 户 账户 名 ， 
口 密码 长 度 至 少 为 8 个 字符 ， 且 包含 表 5-1 
所 示 的 4 种 类 别 的 字符 。 
口 更 改 或 创建 密码 时 ， 会 强制 执行 复杂 密码 需求 检测 。 


表 5-1 可 用 密码 字符 


2 
加 强制 密码 历 | 1 个 记 住 的 密码 
加 用 可 还 原 的 加 密 来 请 存 密码 已 者 用 


写字 母 
英文 小 写字 母 
基本 数字 0 一 9 
非 字母 字符 !、$、#、% 


如 果 要 设置 该 策略 ， 只 需 在 【本 地 安全 策略 】 窗 口中 的 【密码 策略 】 列 表 中 ， 双 吉 
码 必 须 符合 复杂 性 要 求 】 选 项 ， 在 弹出 的 对 话 框 中 ， 选 中 【已 启 用 】 单 选 按钮 ， 并 单 
定 】 按 钮 ， 如 图 5-2 所 示 。 


2 密友 长度 最 小 值 


该 安全 策略 用 于 确定 用 户 账户 的 密码 可 以 包含 的 最 少 字 符 数 。 可 以 设置 为 1 一 14 个 字符 
间 的 某 个 值 ， 或 者 设置 为 0， 若 设置 为 0， 则 表明 不 需要 密码 。 

如 果 需 要 设置 该 策略 ,需要 在 【本 地 安全 策略 】 窗 口中 的 【密码 策略 】 列 表 中 ， 双击 【 密 
码 必须 符合 复杂 性 要 求 】 选 项 ， 在 弹出 对 话 框 的 【不 要 求 密码 】 文 本 框 中 ,设置 密码 长 度 的 
最 小 值 ， 图 5-3 所 示 为 系统 默认 设置 。 然 后 ， 单 击 【 确 定 】 按 钮 。 


EE | mW 下 可 


图 5-2 设置 密码 必须 符合 复杂 性 要 求 策 略 图 5-3 设置 密码 长 度 最 小 值 


在 企业 网 络 中 ， 通 常 建议 将 敏感 用 户 的 密码 长 度 设置 在 16 位 以 上 。 这 对 于 用 
户 来 讲 ， 在 登录 网 络 的 时 候 比 较 烦 琐 ， 但 是 对 于 黑客 来 讲 却 提高 了 密码 破解 
的 难度 ， 同 时 配合 密码 复杂 度 策略 ， 将 提高 网 络 的 安全 性 。 


该 策略 要 求 用 户 在 更 改 密码 之 前 可 以 使 用 该 密码 的 时 间 〈 以 天 为 单位 )。 可 以 将 密码 的 过 
期 天 数 设置 在 1 一 999 天 之 间 , 或 将 其 设置 为 0 (表示 
密码 永 不 过 期 )。 

另外 ， 如 果 密 码 最 长 使 用 期 限 设置 在 1 一 999 天 
之 间 , 那么 密码 最 短 使 用 期 限 必须 小 于 密码 最 长 使 用 
期 限 。 如 果 将 密码 最 长 使 用 期 限 设置 为 0， 则 密码 最 
短 使 用 期 限 可 以 是 0 一 998 之 间 的 任意 数字 。 

如 果 要 设置 该 策略 ， 需 要 在 【本 地 安全 策略 】 窗 
口中 的 【密码 策略 】 列 表 中 ， 双 击 【 密 码 最 长 使 用 期 
限 】 选 项 ， 并 在 弹出 对 话 框 的 【密码 过 期 时 间 】 文 本 图 5-4 设置 密码 最 长 使 用 期 限 
框 中 ， 输 入 过 期 天 数 ， 如 60。 然 后 ， 单 击 【确定 】 按 钮 ， 如 图 5-4 所 示 。 


使 用 该 策略 ， 攻 击 者 只 能 在 有 限 的 时 间 内 破解 用 户 密 码 并 访问 网 络 的 资源 。 


建议 将 网 络 中 敏感 用 户 密码 的 最 长 使 用 期 限 设置 为 7 天 。 


该 安全 策略 用 于 确定 用 户 在 更 改 密码 之 前 必须 使 用 该 密码 的 时 间 〈 以 天 为 单位 )。 可 以 设 
置 为 1 一 998 之 间 的 某 个 值 ， 或 将 其 设置 为 0， 即 允许 立即 更 改 密码 。 

密码 最 短 使 用 期 限 必 须 小 于 密码 最 长 使 用 期 限 ， 除非 密码 最 长 使 用 期 限 设 置 为 0 (表明 密 
码 永 不 过 期 )。 如 果 密 码 最 长 使 用 期 限 设置 为 0, 那么 密码 最 短 使 用 期 限 可 以 设置 为 0 一 998 天 
之 间 的 任意 值 。 

另外 ， 如 果 和 希望 强制 密码 历史 有 效 ， 需 要 将 密码 最 短 有 效 期 限 设置 为 大 于 0。 如 果 没 有 密 
码 最 短 有 效 期 限 ， 则 用 户 可 以 重复 循环 通过 密码 ， 直 到 获得 喜欢 的 旧 密码 。 如 果 将 该 密码 的 
历史 记录 设置 为 0， 则 用 户 不 必 选 择 新 密码 。 因 此 ， 默 认 情 况 下 将 密码 历史 记录 设置 为 1。 

如 果 要 设置 该 策略 ， 需 要 在 【本 地 安全 策略 】 窗 口中 的 【密码 策略 】 列 表 中 ， 双 击 【 密 
码 最 短 使 用 期 限 】 选 项 ， 并 在 弹出 对 话 框 中 设置 密码 最 短 使 用 期 限 ， 图 5-5 所 示 为 系统 默认 设 
置 为 0 天 ， 单 击 【确定 】 按 钮 。 


该 策略 能 够 确保 旧 密 码 不 能 再 继续 使 用 ， 从 而 增加 系统 或 网 络 的 安全 性 。 在 重新 使 用 旧 
密码 之 前 ， 该 安全 策略 确定 与 某 个 用 户 账户 相关 的 唯一 新 密码 的 数量 ， 这 个 值 必须 是 0 一 24 


之 间 的 某 一 个 数值 ， 推 荐 值 为 8， 这 样 既 便 于 用 户 记忆 ， 又 很 难 被 他 人 猜测 到 。 

如 果 要 设置 该 策略 ， 需 要 在 【本 地 安全 策略 】 窗 口中 的 【密码 策略 】 列 表 中 ， 双 击 【 强 
制 密码 历史 】 选 项 ， 并 在 弹出 对 话 框 的 【保留 密码 历史 】 文 本 框 中 ， 输 入 保留 天 数 ， 如 8。 然 
后 ， 单 击 【 确 定 】 按 钮 ， 如 图 5-6 所 示 。 


密码 最 拓 售 用 加 限 民 性 


Ew | zw 
图 5-5 设置 密码 最 短 使 用 期 限 图 5-6 设置 密码 保留 天 数 


经 科学 研究 表明 ， 人 能 够 瞬间 记忆 的 数字 最 大 值 为 8 位 。 因 此， 选择 采用 8 个 字 
符 作 为 密码 可 以 兼顾 记忆 和 安全 两 个 方面 。 


该 安全 策略 能 够 确定 操作 系统 是 否 使 用 可 还 原 的 加 密 来 存储 密码 。 如 果 应 用 程序 使 用 了 
要 求知 道 用 户 密码 才能 进行 身份 验证 的 协议 ， 则 该 策略 可 对 它 提 供 支 持 。 可 还 原 的 加 密 存 储 
密码 和 存储 明文 版 本 密码 本 质 上 是 相同 的 。 因 此 ， 除 非 应 用 程序 有 比 保护 密码 信息 更 重要 的 
要 求 ， 否 则 不 必 使 用 该 策略 。 

另外 ， 当 使 用 质询 握手 身份 验证 协议 〈CHAP) 通过 
远程 访问 或 Internet 身份 验证 服务 (IAS) 进行 身份 验证 
时 ， 必 须 使 用 该 策略 。 在 Internet 信息 服务 (IIS) 中 使 用 


摘要 式 验证 时 也 要 求 使 用 该 策略 。 
如 果 要 设置 该 策略 ， 需 要 在 【本 地 安全 策略 】 窗 口 
中 的 【密码 策略 】 列 表 中 ， 双 击 【 用 可 还 原 的 加 密 来 存 | 


储 密码 】 选 项 ， 在 弹出 的 对 话 框 中 ， 选 中 【已 启用 】 单 。 图 5.7 用 可 还 原 的 加 密 来 存储 密码 
选 按钮 ， 并 单 击 【确定 】 按 钮 ， 如 图 5-7 所 示 。 


5.1.2 ”账户 锁定 策略 


账户 锁定 是 指 在 某 些 情况 下 ， 如 果 账 户 受 到 密码 词典 或 暴力 破解 等 方式 的 在 线 自 动 登录 
工具 的 攻击 ， 为 了 保护 该 账户 的 安全 而 将 此 账户 进行 锁定 ， 使 其 在 一 段 时 间 内 不 能 再 次 被 使 
用 的 策略 ， 这 样 就 可 以 挫败 那些 连续 的 尝试 猜 解 行为 。 

在 Windows Server 2008 中 ， 系 统 默 认 并 没有 对 这 些 策略 进行 设置 。 通 过 执行 【开始 】| 
【管理 工具 】| 【本 地 安全 策略 】 命 令 ， 在 打开 的 窗口 中 ， 展 开 【 账 户 策略 】 节 点 ， 并 选择 【 账 


户 锁定 策略 】 选 项 ， 即 可 查看 到 所 有 的 策略 ， 如 图 5-8 所 示 。 因 此 ， 对 于 恶意 的 攻击 也 没有 任 
何 限 制 。 只 要 攻击 者 有 是 够 的 耐心 ， 那 么 通过 自动 登录 工具 和 密码 猜 解 字典 进行 攻击 ， 甚 至 
可 以 进行 暴力 模式 攻击 ， 破 解密 码 只 是 一 个 时 间 问 题 。 

账户 锁定 策略 可 用 于 域 账户 和 本 地 用 户 账户 ， 用 来 确定 某 个 账户 被 系统 锁定 的 情况 和 时 
间 长 短 。 通 过 包括 复位 账户 锁定 计数 器 、 账 户 锁定 时 间 和 账户 锁定 阔 值 3 个 策略 。 而 设置 账 
户 锁定 策略 的 第 一 步 就 是 指定 账户 锁定 阔 值 ， 即 锁定 前 该 账户 的 无 效 登 录 次 数 。 

一 般 来 讲 ， 对 于 操作 失误 造成 的 登录 失败 次 数 是 有 限 的 。 如 设置 锁定 阔 值 为 3， 表 示 只 人 允 
许 3 次 登录 尝试 ， 一 旦 3 次 登录 尝试 全 部 失败 ， 就 会 锁定 该 账户 。 一 旦 账户 被 锁定 后 ， 即 使 
是 合法 的 用 户 也 无 法 再 次 使 用 该 账户 。 只 有 管理 员 才 可 以 重新 启用 该 账户 ， 这 就 会 对 用 户 造 
成 许多 不 便 。 为 此 ， 可 以 同时 设置 锁定 的 时 间 和 复位 计数 器 的 时 间 。 

通过 账号 锁定 策略 ， 可 以 有 效 地 避免 自动 猜 解 工具 的 攻击 ， 同 时 也 会 打击 那些 手动 尝试 
者 的 耐心 和 信心 。 


该 安全 策略 可 以 确定 造成 用 户 账户 被 锁定 的 登录 失败 尝试 的 次 数 。 在 锁定 时 间 内 ， 无 法 
使 用 被 锁定 的 账户 ， 除 非 管理 员 进行 了 重新 设置 或 该 账户 的 锁定 时 间 已 过 期 。 登 录 尝试 失败 
的 范围 可 设置 为 0 一 999 之 间 ， 建 议 值 为 3 一 5， 这 样 既 允许 用 户 输入 或 记忆 错误 ， 又 避免 了 恶 
意 用 户 反复 尝试 使 用 不 同 的 密码 登录 系统 。 

如 果 要 指定 账户 锁定 阔 值 ， 只 需 在 【本 地 安全 策略 】 窗 口中 的 【账户 锁定 策略 】 列 表 中 ， 
双击 【账户 锁定 阔 值 】 选项， 在 弹出 对 话 框 的 【次 无 效 登录 】 文 本 框 中 输入 数字 ， 如 3。 然 后 ， 
单 击 【 确 定 】 按 钮 ， 如 图 5-9 所 示 。 


图 5-8 ”账户 锁定 策略 图 5-9 设置 账户 锁定 阔 值 
账户 锁定 阔 值 策略 在 默认 状态 下 被 禁用 ， 但 从 网 络 安全 的 角度 来 讲 ， 为 了 防 
止 黑 客 的 恶意 攻击 ， 通 常 建议 启用 该 策略 ， 并 设置 合理 的 数值 。 


该 安全 策略 可 以 确定 锁定 的 账户 在 自动 解锁 前 保持 锁定 状态 的 时 间 (分钟)。 锁 定时 间 的 
有 效 范围 在 0 一 99999 分 钟 之 间 ， 如 果 将 账户 锁定 时 间 设 置 为 0， 那么 在 管理 员 明确 将 其 解锁 
前 ， 该 账户 将 一 直 被 锁定 。 


如 果 定 义 了 账户 锁定 阔 值 ， 则 账户 锁定 时 间 必 须 大 于 或 等 于 重 置 时 间 。 在 【本 地 安全 策 
略 】 窗 口中 的 【账户 锁定 策略 】 列 表 中 ， 双 击 【 账 户 锁定 时 间 】 选 项 ， 在 弹出 对 话 框 的 【 账 
户 锁定 时 间 】 文 本 框 中 ， 输 入 账户 锁定 时 间 ， 并 单 击 【确定 】 按 钮 ， 图 5-10 所 示 为 在 启用 账 
户 锁定 阔 值 后 ， 系 统 默认 账户 锁定 时 间 。 


站 3 复位 账户 铬 定 计数 器 | 


该 安全 策略 可 以 确定 在 登录 尝试 失败 计数 器 被 复位 为 0( 即 0 次 失败 登录 尝试 ) 之 前 ， 尝 
试 登录 失败 之 后 所 需要 的 时 间 (分钟 )。 该 时 间 的 有 效 范 围 在 1 一 99999 分 钟 之 间 。 

如 果 定 义 了 账户 锁定 阔 值 ， 那 么 该 复位 时 间 必须 小 于 或 等 于 账户 锁定 时 间 。 如 果 要 设置 
复位 时 间 ， 需 要 在 【本 地 安全 策略 】 窗 口中 的 【账户 锁定 策略 】 列 表 中 ， 双 击 【 复 位 账户 锁 
定 计数 器 】 选 项 ， 在 弹出 对 话 框 的 【在 此 后 复位 账户 锁定 计数 器 】 文 本 框 中 ， 输 入 复位 时 间 ， 
并 单 击 【确定 】 按 钮 , 图 5-11 所 示 为 系统 默认 设置 时 间 , 即 在 30 分 钟 之 后 复位 被 锁定 的 账户 。 


帐户 锁定 时 间 属性 


图 5-10 设置 账户 锁定 时 间 图 5-11 设置 锁定 账户 复位 时 间 


加 设置 复位 账户 锁定 计数 器 和 账户 锁定 时 间 的 作用 相同 。 


5.1.3 ”推荐 的 账户 策略 设置 


通常 为 了 保护 用 户 账户 的 安全 性 ， 推 荐 的 密码 策略 和 账户 策略 包括 以 下 几 方 面 内 容 。 
口 密码 必须 符合 复杂 性 要 求 ”必须 启用 该 策略 。 

口 密码 长 度 最 小 值 设置 为 8 个 字符 或 者 更 高 。 

口 账户 锁定 阅 值 ”设置 为 3 次 (或 者 略 高 ) 为 无 效 登录 。 

口 复位 账户 锁定 计数 器 设置 为 30 分 钟 (默认 值 ， 可 根据 实际 需要 更 改 ) 之 后 。 


密码 的 复杂 性 是 指 密码 中 必须 包含 字母 、 数字、 特殊 符号 等 内 容 。 在 安全 
性 要 求 比较 高 的 地 方 ， 推 荐 使 用 超过 12 位 以 上 的 密码 。 密 码 应 该 经 常 更 
换 ， 特 别 是 除 管理 员外 还 有 他 人 知道 的 情况 下 。 另外， 管理 员 Administrator 
密码 建议 仅 有 管理 员 本 人 知道 并 且 是 足够 强壮 的 密码 ， 且 可 修改 默认 的 用 
户 名 。 


5.2 ”审核 策略 


审核 是 Windows Server 2008 系统 安全 策略 的 一 部 分 ， 它 是 一 个 维护 系统 安全 性 的 工具 。 
通过 设置 审核 策略 ， 确 定 是 否 将 安全 事件 记录 到 计算 机 上 的 安全 日 志 中 ， 同 时 也 确定 是 否 记 
录 登 录 成 功 或 登录 失败 ， 或 两 者 都 记录 。 当 系统 管理 员 希 望 了 解 系统 运行 状态 时 ， 通 过 查看 
相关 类 型 的 系统 事件 即 可 ， 相 对 于 大 量 的 系统 事件 信息 而 言 ， 审 核 策略 产生 的 日 志 数量 非常 
少 ， 这 大 大 减少 了 管理 员 的 工作 负担 。 


5.2.1 审核 策略 设置 


在 加 入 域 中 的 成 员 服 务 器 和 工作 站 上 ， 默 认 没 有 定义 事件 类 别 的 审核 设置 。 在 域 控制 器 
中 ， 默 认 也 没有 开启 审核 功能 ， 需 要 管理 员 手 动 启动 审核 策略 。 通 过 为 特定 的 事件 类 别 定 义 
审核 设置 ， 可 以 为 单位 或 公司 创建 一 个 适合 自身 需要 的 审核 策略 。 

在 Windows Vista 之 前 ， 所 有 安全 事件 都 属于 9 种 审核 策略 之 一 。 通 过 启用 一 个 审核 类 别 
的 成 功 或 失败 审核 ,就 启用 了 该 类 别 的 所 有 审核 事件 .在 Windows Vista 和 Windows Server 2008 
中 ， 所 有 安全 事件 都 归属 于 一 个 审核 策略 子 类 别 。 当 启用 了 某 个 子 类 别 的 审核 策略 后 ， 也 就 
启用 了 所 有 属于 该 子 类 别 的 事件 。 每 个 子 类 别 的 设置 中 ， 既 有 启用 由 成 功 的 活动 生成 的 事件 ， 
也 有 启用 由 失败 的 事件 生成 的 事件 。 


审核 账户 登录 事件 设置 确定 是 否 审核 在 这 台 计算 机 用 于 验证 账户 时 ， 用 户 登录 到 其 他 计 
算 机 或 者 从 其 他 计算 机 注销 的 每 个 实例 。 当 在 域 控制 器 中 对 域 用 户 账户 进行 身份 验证 时 ， 将 
产生 账户 登录 事件 ， 该 事件 被 记录 在 域 控制 器 的 安全 日 志 中 。 当 在 本 地 计算 机 上 对 本 地 用 户 
进行 身份 验证 时 ， 将 产生 登录 事件 ， 该 事件 被 记录 在 本 地 安全 日 志 中 ， 不 产生 账户 注销 事件 。 

如 果 需 要 定义 该 策略 ， 可 以 指定 是 否 审核 成 功 、 审 核 失 败 或 根本 不 对 事件 类 型 进行 审核 。 
当 某 个 账户 登录 成 功 时 ， 成 功 审核 策略 会 产生 审核 项 ， 当 某 个 账户 登录 失败 时 ， 失 败 审核 会 
生成 审核 项 。 

首先 ， 执 行 【开始 】|【 管 理工 具 】|【 本 地 安全 策略 】 命 令 ， 在 打开 的 窗口 中 ， 展 开 【 本 
地 策略 】 节 点 ， 选 择 【 审 核 策略 】 选 项 。 然 后 ， 在 右 侧 窗 格 中 ， 双 击 【审核 账户 登录 事件 】 
选项 ， 如 图 5-12 所 示 。 

通常 外 来 入 侵 不 会 一 次 就 能 登录 成 功 ， 因 此 ， 一 般 只 需要 记录 失败 事件 即 可 。 在 弹出 的 
【审核 账户 登录 事件 属性 】 对 话 框 中 ， 可 以 禁用 【成 功 】 复 选 框 ， 并 单 击 【 确 定 】 按 钮 ， 如 
图 5-13 所 示 。 当 然 ,为 了 更 加 安全 ， 也 可 以 保持 默认 设置 。 如 果 同 时 禁用 【成 功 】 和 【失败 】 
复 选 框 ， 则 表示 无 审核 。 


审核 账户 管理 设置 确定 是 否 审核 计算 机 上 的 每 一 个 账户 管理 事件 。 账 户 管理 事件 包括 以 


图 5-12 【本 地 安全 策略 】 窗 口 图 5-13 审核 账户 登录 事件 策略 


口 创建 、 更 改 或 删除 用 户 账户 或 组 。 

口 重 命名 、 禁 用 或 启用 用 户 账户 。 

口 设置 或 更 改 密码 。 

如 果 定义 该 策略 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 或 根本 不 对 该 事件 类 型 进行 审核 。 
任何 账户 管理 事件 成 功 时 ， 成 功 审核 都 会 产生 审核 项 ， 任 何 账户 管理 事件 失败 时 ， 失 败 审核 
也 都 会 生成 审核 项 。 


审核 目录 服务 访问 设置 审核 用 户 访问 那些 指定 资金 的 系统 访问 控制 列表 (SACL) 的 Active 
Directory 对 象 的 事件 。 

默认 情况 下 ， 在 “默认 域 控制 器 组 策略 对 象 (GPO)” 中 该 值 设 置 为 无 审核 ， 并 且 在 该 值 
没有 任何 意义 的 工作 站 和 服务 器 中 ， 它 都 保持 未 定义 状态 。 

如 果 定 义 该 策略 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 或 根本 不 对 该 事件 类 型 进行 审核 。 
用 户 成 功 访问 指定 了 SACL 的 Active Directory 对 象 时 ， 成 功 审 核 会 生产 审核 项 。 用 户 尝 试 访 
问 指定 了 SACL 的 Active Directory 对 象 失 败 时 ， 失 败 审 核 会 生成 审核 项 。 


通过 使 用 某 个 Active Directory 对 象 属性 对 话 框 中 的 【人 安全】 选项 卡 ， 可 以 设 
置 该 对 象 的 SACL。 该 操作 与 审核 对 象 访问 相同 ， 只 不 过 仅 应 用 于 Active 
Directory 对 象 而 不 是 文件 系统 和 注册 表 对 象 。 


审核 登录 事件 审核 每 一 个 登录 或 注销 计算 机 的 用 户 实例 。 

在 域 控制 器 中 将 生成 域 账户 活动 的 账户 登录 事件 ， 并 在 本 地 计算 机 中 生成 本 地 账户 活动 
的 账户 登录 事件 。 如 果 同 时 启用 账户 登录 和 账户 审核 策略 类 别 ， 那 么 使 用 域 账户 的 登录 将 生 
成 登录 或 注销 工作 站 或 服务 器 的 事件 ， 而 且 将 在 域 控制 器 中 生成 一 个 账户 登录 事件 。 另 外 ， 
在 用 户 登录 而 检索 登录 脚本 和 策略 时 ， 使 用 域 账 户 的 成 员 服务 器 或 工作 站 的 交互 式 登录 将 在 


域 控制 器 上 生成 登录 事件 。 
如 果 定 义 该 策略 ， 可 以 指定 是 否 审核 成 功 、 审 核 失 败 或 根本 不 对 该 事件 类 型 进行 审核 。 
登录 成 功 时 ， 成 功 审核 会 生成 审核 项 。 登 录 失 败 时 ， 失 败 审核 会 生成 审核 项 。 


审核 对 象 访问 审核 用 户 访问 某 个 对 象 的 事件 ， 如 文件 、 文 件 夹 、 注 册 表 项 和 打印 机 等 ， 
它们 都 拥有 自己 特定 的 系统 访问 控制 列表 (SACL)。 

如 果 定 义 该 策略 ， 可 以 指定 是 否 审核 成 功 、 审 核 失 败 或 根本 不 对 该 事件 类 型 进行 审核 。 
当 用 户 成 功 访问 指定 了 SACL 的 对 象 时 ， 成 功 审核 将 生成 审核 项 。 当 用 户 尝试 访问 指定 了 
SACL 的 对 象 失败 时 ， 失 败 审核 也 会 生成 审核 项 。 


审核 策略 更 改 审核 用 户 权限 分 配 策略 、 审 核 策略 或 信任 策略 更 改 的 每 一 个 事件 。 

如 果 定 义 该 策略 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 或 根本 不 对 该 事件 类 型 进行 审核 。 
对 用 户 权限 分 配 策略 、 审 核 策略 或 信任 策略 所 作 更 改 成 功 时， 成 功 审核 会 生成 审核 项 。 对 用 
户 权限 分 配 策略 、 审 核 策略 或 信任 策略 所 作 更 改 失败 时 ， 失 败 审 核 会 生成 审核 项 。 


审核 特权 使 用 审核 用 户 实施 其 权力 的 每 一 个 实例 。 

如 果 定 义 该 策略 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 或 根本 不 对 该 事件 类 型 进行 审核 。 
用 户 权力 实施 成 功 时 ， 成 功 审核 会 生成 审核 项 。 用 户 权力 实施 失败 时 ， 失 败 审核 会 生成 审 
核 项 。 


审核 进程 跟踪 审核 事件 〈 如 程序 激活 、 进 程 退 出 、 句 柄 复制 和 间接 对 象 访问 等 ) 的 详细 
跟踪 信息 。 

如 果 定 义 该 策略 ， 可 以 指定 是 否 审核 成 功 、 审 核 失败 或 根本 不 对 该 事件 类 型 进行 审核 。 
所 跟踪 的 过 程 成 功 时 ， 成 功 审核 会 生成 审核 项 。 所 跟踪 的 过 程 失 败 时 ， 失 败 审核 会 生成 审 
核 项 。 


当 用 户 重 启 或 关闭 计算 机 时 或 者 是 对 系统 安全 或 安全 日 志 有 影响 的 事件 发 生 时 ， 安 全 设 
置 确定 是 否 予 以 审核 。 

如 果 定 义 该 策略 ， 可 以 指定 是 否 审核 成 功 、 审 核 失 败 或 根本 不 对 该 事件 类 型 进行 审核 。 
系统 事件 执行 成 功 时 ， 成 功 审核 会 生成 审核 项 。 系 统 事件 执行 失败 时 ， 失 败 审核 会 生成 审 
核 项 。 


5.2.2 ”推荐 的 审核 策略 设置 


Windows Server 2008 提供 9 种 类 型 的 事件 审核 策略 ， 对 于 每 一 类 都 可 以 指明 是 审核 成 功 


事件 、 失 败 事件 ， 还 是 两 者 都 审核 ， 但 对 于 安全 性 较 高 的 网 络 来 讲 ， 通 常 有 如 下 推荐 的 审核 
策略 设置 。 
口 审核 策略 更 改 
确定 是 否 对 用 户 权限 分 配 策略 、 审 核 策略 或 信任 策略 更 改 的 每 一 个 事件 进行 审核 。 系 统 
默认 设置 为 “成 功 ”， 建 议 设置 为 “成 功 ” 和 “失败 ”。 只 需 在 【审核 策略 更 改 属性 】 对 话 框 
中 ， 同 时 启用 【失败 】 复 选 框 即 可 ， 如 图 5-14 所 示 。 

口 审核 登录 事件 

确定 是 否 审核 用 户 登录 到 计算 机 ， 从 该 计算 机 注销 或 建立 与 该 计算 机 网 络 连接 的 每 一 个 
实例 。 如 果 设 置 为 审核 “成 功 ”， 可 用 来 确定 哪个 用 户 成 功 登 录 到 哪 一 台 计算 机 ; 如 果 设 置 为 
审核 “失败 ”， 虽 然 可 以 用 来 检测 入 侵 ， 但 攻击 者 生成 的 大 量 登录 失败 日 志 ， 会 造成 拒绝 服务 
(DoS) 状态 。 建 议 保持 系统 默认 设置 即 可 ， 如 图 5-15 所 示 。 


图 5-14 审核 策略 更 改 设置 图 5-15 审核 登录 事件 策略 


口 审核 对 象 访问 

由 于 这 些 对 象 , 如 文件 、 文件 夹 、 注 册 表 项 等 , 都 指定 了 自己 的 系统 访问 控制 列表 (SACL) 
的 事件 ， 因 此 建议 设置 为 “成 功 ”。 即 在 【审核 对 象 访问 属性 】 对 话 框 中 ， 禁 用 【成 功 】 复 
选 框 ， 而 启用 【失败 】 复 选 框 ， 如 图 5-16 所 示 。 

口 审核 进程 跟踪 

确定 是 否 审核 事件 的 详细 跟踪 信息 ， 如 程序 激活 ， 进 程 结 束 等 。 当 怀疑 系统 被 攻击 时 ， 
通常 启用 该 策略 ， 系 统 默 认 设 置 为 “成 功 ”。 

口 审核 目录 访问 服务 

由 于 在 启用 该 策略 后 ， 会 在 域 控制 器 的 安全 日 志 中 生成 大 量 审核 项 ， 因 此 只 有 在 确实 要 
使 用 所 创建 的 信息 时 才 启 用 。 系 统 默认 设置 为 “成 功 ”， 但 在 不 需要 使 用 时 ， 建 议 禁 用 【人 成功】 
和 【失败 】 复 选 框 ， 如 图 5-17 所 示 。 

口 审核 特权 使 用 

该 策略 用 于 确定 是 否 对 用 户 行使 用 户 权限 的 每 个 实例 进行 审核 ， 建 议 设置 为 “失败 ”， 如 
图 5-18 所 示 。 

口 审核 系统 事件 

用 于 确定 当 用 户 重启 或 关闭 计算 机 时 , 或 者 对 系统 安全 或 安全 日 志 有 影响 的 事件 发 生 时 ， 
是 否 予 以 审核 。 由 于 这 些 事件 是 非常 重要 的 ， 因 此 建议 设置 为 “成 功 ” 和 “失败 ”。 


系统 安全 策略 
EEEETETIEG 下 xl 
本 地 让 全 计 | 训 朋 | 本 地 雪 全 六 于 | 丙 用 | 
人 车 
eis 审核 这 上 提 作 
成 hs 
屎 类 败 字 ) FF 
以 萌 代 闫 9 市 导 和 隧 ， 风 可 能 不 全 
上 并 已 蔷 代 类 别 恕 别 审 校 往 固 ， 风 可 能 不 会 
ms a 有 
ER | anw | ER 
图 5-16 审核 对 象 访问 策略 图 5-17 审核 目录 访问 服务 策略 


口 审核 账户 登录 事件 


该 策略 可 以 确定 当 用 户 登录 到 其 他 计算 机 或 从 中 注销 时 ， 是 否 进行 审核 ， 该 信息 对 于 管 
对 


理 员 十 分 重要 ， 因 此 建议 设置 为 “成 功 ” 和 “失败 ”。 系 统 默认 仅 启 用 【成 功 】 复 选 杠 ， 
启用 【失败 】 复 选 框 即 可 ， 如 图 5-19 所 示 。 
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本 地 安全 设置 | 六 明 | 本 地 安全 设置 | 丙 朋 | 
攻 市 以 使 用 届 we 
市 术 这些 操作 市 入 这 上 操作 
厂 成 pS) F 成 功 G) 
捷 头 网 呈 ) 类 WF) 
me em re 
取消 应 及 ) 取消 应 月 凡 ) 
图 5-18 审核 特权 使 用 策略 图 5-19 审核 账户 登录 事件 
口 审核 账户 管理 
用 于 确定 是 否 对 计算 机 上 的 每 个 账户 管理 事件 〈 如 重 命名 、 禁 用 等 ) 进行 审核 ， 建 议 设 


置 为 “成 功 ” 和 “失败 ” 如 图 5-20 所 示 。 


i] i T 
5.2.3 ”调整 日 志 审核 文件 的 大 小 二 
审核 这 些 捍 作 ， 
在 安装 Windows Server 2008 时 ， 系 统 默认 设置 了 a 


日 志文 件 的 大 小 ， 例 如 ， 应 用 程序 日 志 、 安 全 日 志 、 系 
统 日 志 等 日 志 的 默认 大 小 均 为 20480KB。 管理 员 可 以 手 人 
动 设置 日 志文 件 的 大 小 。 


?|xl| 


Windows 日 志 类 别 包 括 早 期 版 本 的 Windows 中 可 


Ew Mt 应 用 的 


目的 日 志 〈 应 用 程序 、 安 全 和 系统 日 志 )。 另 外 ， 还 包 图 5-20 审核 账户 管理 
括 两 个 新 的 日 志 类 别 ， 即 安装 程序 日 志和 转发 的 事件 


(Forwarded Events) 日 志 。Windows 日 志 用 于 存储 来 自 旧 版 应 用 程序 的 事件 以 及 适用 于 整个 系 


统 的 事件 。 


在 Windows Server 2008 中 ， 系 统 日 志 通 常 包括 如 下 4 种 类 型 。 

口 应 用 程序 日 志 

应 用 程序 日 志 包含 由 应 用 程序 或 系统 程序 记录 的 事件 。 例 如 ， 数 据 库 程序 可 在 应 用 程序 
日 志 中 记录 文件 错误 。 应 用 程序 开发 人 员 决 定 记录 哪些 事件 。 

口 安全 日 志 

安全 日 志 包含 诸如 有 效 和 无 效 的 登录 尝试 等 事件 ， 以 及 记录 与 资源 使 用 相关 的 事件 ， 如 
创建 、 打 开 或 删除 文件 或 其 他 对 象 。 管 理 员 可 以 指定 在 安全 日 志 中 记录 什么 事件 。 例 如 ， 如 
果 已 启用 登录 审核 ， 则 对 系统 的 登录 尝试 将 记录 在 安全 日 志 中 。 

口 系统 日 志 

系统 日 志 包 含 Windows 系统 组 件 记录 的 事件 。 例 如 ， 在 启动 过 程 中 加 载 驱动 程序 或 其 他 
系统 组 件 失 败 将 记录 在 系统 日 志 中 。 服 务 器 预先 确定 由 系统 组 件 所 记录 的 事件 类 型 。 

口 安装 程序 日 志 

安装 程序 日 志 包 含 与 应 用 程序 安装 关 的 事件 。 例如， 安装 系统 或 者 安装 微软 公司 的 产品 。 

另外 ， 当 一 台 计算 机 安装 Windows Server 2008 操作 系统 ， 且 被 配置 为 域 控制 器 时 ， 通 常 
使 用 以 下 3 种 日 志 来 记录 事件 。 

口 目录 服务 日 志 

目录 服务 日 志 包 含 Active Directory 服务 记录 的 事件 。 例 如 ， 在 目录 服务 日 志 中 记录 服务 
器 和 全 局 编 录 间 的 连接 问题 。 

口 文件 复制 服务 日 志 

该 日 志 包含 Windows 文件 复制 服务 记录 的 事件 。 例 如 ， 在 文件 复制 日 志 中 ， 记 录 文 件 复 
制 失 败 和 域 控制 器 〈 利 用 关于 系统 卷 更 改 的 信息 ) 更 新 时 发 生 的 事件 。 运 行 Windows 并 配置 
为 域名 系统 (DNS) 服务 器 的 计算 机 在 其 他 日 志 中 记录 事件 。 

口 DNS 服务 器 日 志 

DNS 服务 器 日 志 包含 DNS 服务 记录 的 日 志 。 

除 此 之 外 ， 还 包括 应 用 程序 和 服务 日 志 ， 它 是 一 种 新 类 别 的 事件 日 志 。 这 些 日 志 存 储 来 
自 单个 应 用 程序 或 组 件 的 事件 ， 而 不 是 那些 可 能 影响 整个 系统 的 事件 。 应 用 程序 和 服务 日 志 
包括 以 下 4 种 不 同类 型 的 事件 。 

口 管理 事件 

该 类 事件 主要 以 最 终 用 户 、 管 理 员 和 技术 支持 人 员 为 目标 。 例 如 ， 应 用 程序 无 法 连接 到 
打印 机 时 所 发 生 的 事件 。 这 些 事 件 或 者 有 详细 的 文档 记录 ， 或 者 有 与 其 相关 联 的 消息 ， 通 过 
这 些 信息 可 以 指导 用 户 进行 操作 以 纠正 问题 。 

口 操作 事件 

用 于 分 析 和 诊断 问题 或 发 生 的 事件 。 这 些 事件 可 以 被 用 于 分 析 问 题 或 发 生 的 事件 。 例 如 ， 
从 系统 中 添加 或 删除 打印 机 时 所 发 生 的 事件 

口 分 析 事 件 

该 事件 是 大 量 发 生 的 事件 。 这 些 事件 描述 应 用 程序 操作 并 指示 用 户 干预 其 无 法 处 理 的 
问题 。 

口 调试 事件 

该 事件 主要 由 开发 人 员 用 于 解决 其 程序 中 存在 的 问题 。 
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系统 安全 策略 


系统 日 志 有 很 重要 的 作用 ， 如 何 妥 善 保存 这 些 日 志 记录 ， 是 管理 员 日 常 维护 的 一 项 重要 
工作 。 在 默认 状态 下 ， 系 统 日 志 的 存储 空间 、 保 存 方法 及 保存 日 期 都 是 有 一 定 限制 的 ， 如 果 
系统 事件 较 多 ， 时 间 久 了 很 可 能 会 造成 存储 溢出 ， 即 导致 部 分 事件 记录 被 自动 清除 。 因 此 ， 
调整 日 志 审 核 文 件 的 大 小 很 有 必要 。 

通常 ， 在 业务 应 用 系统 中 建议 增 大 日 志文 件 的 大 小 ， 日 志文 件 的 最 大 值 为 512000KB 
(512MB)。 然 而 ， 在 实际 环境 中 ， 不 建议 使 用 如 此 大 的 日 志文 件 ， 在 进行 日 志 得 选 和 导出 的 食 
时 候 ， 需 要 占用 大 量 的 时 间 ， 同 时 在 日 志 写 入 的 时 候 ， 系 统 还 需要 对 文件 进行 更 新 ， 因 此 
会 消耗 大 量 的 服务 器 资源 。 下 面 就 以 调整 “安全 ”日 志 为 例 进行 说 明 。 

首先 ， 执 行 【 开 始 】|【 管 理工 具 】|【 事 件 查看 器 】 命 令 ， 在 打开 的 【事件 查看 器 】 窗 口 
中 ， 展 开 【Windows 日 志 】 节 点 ， 右 击 【 安 人 全】 选项， 并 执行 【属性 】 命 令 ， 如 图 5-21 所 示 。 

在 弹出 的 【日 志 属 性 -安全 (类 型 : 管理 的 )】 对 话 框 中 的 【日 志 最 大 大 小 (KB)】 文 本 杠 
中 ， 输 入 要 设置 的 日 志文 件 的 大 小 值 ， 并 单 击 【确定 】 按 钮 ， 如 图 5-22 所 示 。 系 统 默 认 设置 
日 志 最 大 大 小 为 20480KB。 
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对 于 该 对 话 框 中 的 各 选项 有 如 下 说 明 。 

口 日 志 路 径 ”当前 日 志 的 保持 路 径 。 

口 日 志 最 大 大 小 ”当前 事件 日 志 在 计 算 机 磁盘 中 被 划分 的 磁盘 空间 ， 可 以 根据 服务 器 类 
型 判断 日 志文 件 的 大 小 ， 从 而 设 定 合 适 的 空间 上 限 。 

口 达到 事件 日 志 最 大 大 小 ” 当 达 到 日 志 大 小 上 限时 系统 将 按照 默认 或 预先 设 定 的 动作 执 
行 ， 系 统 默认 已 选中 【 按 需 要 履 盖 事件 ( 旧事 件 优 先 )】 单 选 按钮 。 


所 设置 日 志文 件 的 大 小 必须 为 64KB 的 整数 倍 ， 且 不 能 小 于 1024KB。 如 果 是 
手动 键入 日 志 大 小 而 没 使 用 微调 控件 , 则 会 将 其 取 整 为 最 接近 的 64KB 的 倍数 
值 。 另外， 如 果 所 设置 的 日 志 大 小 最 大 值 小 于 当前 的 日 志 大 小 ， 那 么 设置 的 
最 大 值 将 直到 清除 日 志 时 才 生 效 。 


5.3 ”限制 用 户 登录 


在 单位 或 公司 内 部 网 络 中 ， 为 了 进一步 保证 用 户 的 账户 安全 ， 可 以 通过 对 用 户 的 登录 行 
为 进行 限制 来 实现 。 这 样 ， 即 使 是 密码 被 泄露 ， 系 统 也 可 以 在 一 定 程度 上 阻止 黑客 的 入 侵 。 
对 于 Windows Server 2008 网 络 来 讲 , 可 以 使 用 Active Directory 用 户 和 计算 机 管理 单元 来 限制 
用 户 的 登录 行为 ， 也 可 以 使 用 组 策略 提供 的 登录 权利 功能 ， 来 限制 用 户 的 登录 和 访问 。 


5.3.1 用 户 权 限 


管理 员 可 以 指派 特定 权利 组 账户 或 单个 用 户 账户 。 用 户 执行 特定 任务 的 权利 ， 如 交互 式 
登录 系统 或 备份 文件 和 目录 等 ， 通 常会 影响 整个 计算 机 系统 ， 而 不 只 是 某 个 目录 对 象 。 用 户 
权利 与 权限 不 同 ， 用 户 权利 适用 于 用 户 账户 ， 而 权限 则 附加 给 对 象 。 


用 户 权利 是 一 种 定义 在 本 地 级 别 上 的 功能 。 虽然 它 可 以 应 用 于 单个 的 用 户 账户 ， 但 最 好 
是 在 组 账户 的 基础 上 对 其 进行 管理 。 这 样 可 以 确保 作为 组 成 员 登 录 的 账户 将 自动 继承 该 组 的 
相关 权利 。 通 过 对 组 而 不 是 对 单个 用 户 指派 用 户 权利 ， 可 以 简化 用 户 账 户 管理 的 任务 。 当 组 
中 的 用 户 都 需要 相同 的 用 户 权利 时 ， 可 以 一 次 对 该 组 指派 用 户 权 利 ， 而 不 是 重复 地 对 每 个 单 
独 的 用 户 账户 指派 相同 的 用 户 权利 。 

对 组 指派 的 用 户 权 利 应 用 到 该 组 的 所 有 成 员 。 如 果 一 个 用 户 属于 多 个 组 ， 则 用 户 权利 是 
登 积 的 ， 也 就 是 说 用 户 有 多 个 组 的 用 户 权 利 。 指 派 给 某 个 组 的 用 户 权利 只 有 在 特定 的 情况 下 
才 会 与 指派 给 其 他 组 的 用 户 权利 发 生 冲 突 。 然 而 ， 指 派 给 某 个 组 的 用 户 权利 通常 不 会 与 指派 
给 其 他 组 的 用 户 权利 发 生 冲 突 。 要 删除 用 户 的 权利 ， 只 需 将 其 从 所 属 的 组 中 删除 即 可 。 在 此 
情况 下 ， 用 户 不 再 拥有 指派 给 这 个 组 的 权利 。 

通常 包括 如 下 两 种 类 型 的 用 户 权利 。 

口 特权 ”如 备份 文件 和 目录 的 权利 。 

口 登录 权利 ”如 登录 到 本 地 系统 的 权利 。 

权限 可 以 授权 对 不 同 对 象 的 不 同 访问 ， 而 权利 却 能 够 给 予 一 个 用 户 做 特殊 任务 的 权利 。 
通常 情况 下 ， 权 利 倾向 于 特定 的 系统 上 ， 例 如 用 户 登 录 到 该 系统 的 权利 ， 修 改 系统 时 间 的 权 
利 以 及 关闭 系统 的 权利 等 。 

另外 ， 有 些 权利 基本 上 是 系统 专用 的 能 力 ， 可 以 不 考虑 访问 控制 列表 。 例 如 备份 文件 ， 
显然 ， 如 果 不 能 读 取 这 些 文 件 就 不 能 对 这 些 文件 进行 备份 ， 但 是 具有 备份 权利 的 用 户 能 备份 
系统 上 的 任何 文件 ， 包 括 那 些 拒绝 访问 的 文件 。 权 利 大 于 权限 ， 但 不 需要 担心 文件 的 安全 性 ， 
因为 备份 组 的 权利 只 有 在 备份 时 才 有 效 ， 如 作为 备份 组 的 成 员 不 能 打开 服务 器 上 的 文件 并 读 
取 其 中 的 内 容 。 


特权 控制 对 计算 机 系统 范围 的 资源 的 访问 ， 并 可 以 覆盖 在 特定 对 象 上 设置 的 权限 。 例 如 ， 


用 户 作为 备份 组 的 成 员 登 录 到 域 时 ， 具 有 对 所 有 域 服务 器 执行 备份 操作 的 权利 。 但 是 ， 这 要 
求 能 够 读 取 这 些 服务 器 上 的 所 有 文件 ， 甚 至 是 文件 所 有 者 已 经 明确 设置 对 所 有 用 户 〈 包 括 备 
份 组 成 员 ) 都 拒绝 访问 的 文件 。 在 这 种 情况 下 ， 执 行 备份 的 用 户 权利 优先 于 所 有 的 文件 和 目 
录 权 限 。 


登录 权利 是 指 分 配给 用 户 , 并 指定 用 户 以 哪 种 方式 登录 系统 的 用 户 账户 权利 。 表 5-2 所 示 
为 默认 的 登录 权利 。 


从 网 络 访问 计算 机 
允许 通过 终端 服务 登录 


作为 批 处 理 作业 登录 


作为 服务 登录 


本 地 登录 
拒绝 从 网 络 访问 这 台 计 算 机 


拒绝 本 地 登录 
拒绝 作为 批 处 理 作 业 登 录 


拒绝 作为 服务 登录 
拒绝 通过 终端 服务 登录 


表 5-2 默认 登录 权利 


允许 用 户 通 过 网 络 连 接 到 计算 机 


允许 用 户 通过 远程 桌面 连接 登录 到 
本 计算 机 

允许 用 户 使 用 批 处 理 查 询 工具 登录 ， 
如 果 安 装 了 Internet 信息 服务 (IIS)， 
则 系统 将 权利 自动 分 配给 匿名 访问 
IIS 的 内 置 账 户 

允许 某 种 安全 原则 以 服务 身份 登录 。 
可 以 将 服务 配置 为 在 Local System、 
Local Service 或 Network Service 账 户 
下 运行 , 这 些 账 户 具 有 作为 服务 登录 
的 内 置 权利 。 在 单个 账户 下 运行 的 任 
意 服务 都 必须 授予 该 权利 

人 允许 用 户 通 过 计算 机 键盘 操作 


禁止 用 户 或 组 从 网 络 连接 到 本 计算 
机 

禁止 用 户 或 组 直接 通过 键盘 登录 
禁止 用 户 或 组 通过 批 处 理 队 列 工具 
登录 

禁止 用 户 或 组 作为 服务 登录 
禁止 用 户 或 组 作为 终端 服务 客户 
登录 


管理 员 、 每 个 人 、 用 户 、 高 级 用 户 
和 备份 操作 员 
管理 员 和 远程 桌面 用 户 


没有 任何 用 户 账户 


没有 任何 用 户 账户 


管理 员 、 高 级 用 户 、 用 户 、 来 宾 和 
备份 操作 员 
没有 任何 用 户 账户 


没有 任何 用 户 账户 
没有 任何 用 户 账户 


没有 任何 用 户 账户 
没有 任何 用 户 账户 


特殊 用 户 账户 LocalSystem 具有 已 指派 给 它 的 几乎 所 有 特权 和 登录 权利 , 因为 作为 操作 系 
统 的 一 部 分 运行 的 所 有 进程 都 与 该 账户 相关 ， 而 这 些 进 程 都 需要 全 部 的 用 户 权利 。 


为 减轻 用 户 账户 的 管理 任务 ， 避 免 权 限 管理 混乱 ， 应 该 将 用 户 的 权利 指派 到 组 ， 然 后 将 
需要 获得 此 权限 的 用 户 添加 到 该 组 中 ， 尤 其 是 对 于 用 户 较 多 的 大 型 网 络 ， 更 应 该 如 此 。 

在 Windows Server 2008 域 网 络 中 ， 可 以 通过 在 域 控制 器 的 组 策略 管理 控制 单元 、 编 辑 域 
控制 器 的 默认 策略 (Default Domain Controllers Policy) 或 者 本 地 安全 策略 中 进行 设置 。 如 果 


是 独立 服务 ， 则 只 能 通过 本 地 安全 策略 管理 单元 进行 设置 。 

在 Windows Server 2008 域 控制 器 中 , 执行 【开始 】 代 管理 工具 】 代 本 地 安全 策略 】 命 令 ， 
在 打开 的 窗口 中 ， 展 开 【 本 地 策略 】 节 点 ， 并 选择 【用 户 权限 分 配 】 选 项 。 然 后 ， 在 右 侧 窗 
格 中 ， 可 以 查看 到 所 有 可 供 分 配 的 用 户 权限 ， 如 图 5-23 所 示 。 

双击 需要 分 配给 组 的 权限 (如 “从 网 络 访问 此 计算 机 ”)， 在 弹出 的 【从 网 络 访问 此 计算 
机 属性 】 对 话 框 中 的 列表 中 ， 可 以 查看 到 具有 此 权利 的 用 户 或 者 组 ， 如 图 5-24 所 示 。 


FE 算 机 区 性 


5-23 【本 地 安全 策略 】 窗 口 5-24 【从 网 络 访问 此 计算 机 属性 】 对 话 杠 


当 为 组 分 配 某 个 权限 以 后 ， 该 组 中 的 用 户 同 时 也 会 具有 该 权限 ， 而 以 后 向 该 组 添加 新 用 
户 时 ， 新 用 户 也 会 拥有 该 权限 。 

通常 ， 将 权限 分 配给 用 户 组 时 应 注意 如 下 内 容 。 

口 管理 员 组 ( Administrators ) 可 以 被 授权 的 权利 包括 更 改 系统 事件 、 创 建 页 面 文件 。 安 
装 和 纯 载 设备 驱动 程序 、 在 本 地 登录 、 管 理 审 核 安全 日 志 、 配 置 单一 进程 、 配 置 系统 
性 能 、 关 闭 系统 、 取 得 文件 或 者 对 象 的 所 有 权 。 

口 备份 操作 员 ( Backup Operators ) 可 以 被 授权 的 权利 包括 备份 文件 和 目录 、 在 本 地 登录 、 
还 原文 件 和 目录 。 

口 用 户 组 可 以 被 授权 的 权利 为 在 本 地 登录 (默认 )。 

口 将 有 关 Everyone 组 的 权利 删除 。 尤 其 是 在 Windows 2000 系统 中 ， 默 认 情况 下 ， 该 组 
被 赋予 “完全 控制 ”权限 ， 这 对 于 系统 安全 是 不 利 的 。 


5.3.2 ”限制 登录 


登录 权限 控制 为 谁 授予 登录 计算 机 的 权限 以 及 他 们 的 登录 方式 。 在 网 络 中 ， 为 了 增加 系 
统 的 安全 性 ， 通 常会 限制 某 些 用 户 的 登录 以 保护 网 络 内 部 敏感 数据 的 安全 性 。 

对 用 户 进行 限制 登录 可 以 通过 该 用 户 账户 的 属性 对 话 框 来 完成 ， 通 常 包括 登录 时 间 、 登 
录 到 、 账 户 等 多 个 方面 的 限制 。 

在 Windows Server 2008 域 控制 器 中 ， 如 果 要 设置 限制 登录 ， 首 先 需要 执行 【开始 】|【 管 
理工 具 】| 【Active Directory 用 户 和 计算 机 】 命 令 ， 在 打开 的 窗口 中 ， 展 开 slkj.com 节点 ， 并 
选择 Users 选项 。 然 后 ， 在 右 侧 窗 格 中 ， 右 击 新 建 的 用 户 账 户 ]y， 并 执行 【属性 】 命 令 ， 如 图 
5-25 所 示 。 


在 弹出 的 对 话 框 中 ， 切 换 到 【账户 】 选 项 卡 ， 选 中 【账户 过 期 】 栏 内 的 【在 这 之 后 】 单 
选 按钮 ， 并 设置 过 期 时 间 ， 如 图 5-26 所 示 。 然 后 ， 单 击 【 确 定 】 按 钮 。 这 样 ， 该 用 户 账户 在 
设 定 的 过 期 时 间 之 后 将 不 能 够 再 使 用 。 同 样 ， 通 过 该 对 话 框 还 可 以 设置 用 户 的 登录 时 间 (在 
哪个 时 间 段 允许 登录 )、 登 录 到 哪 一 台 计算 机 等 限制 策略 。 
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图 5-25 【Active Directory 用 户 和 计算 机 】 窗 口 5-26 ”设置 账户 过 期 时 间 


5.4 ”安全 配置 和 分 析 


无 论 对 于 服务 器 还 是 对 于 客户 端 ， 安 全 都 是 头等 大 事 。 计 算 机 的 安全 是 借助 安全 配置 来 
实现 的 。 而 “安全 配置 和 分 析 ” 工 具 是 微软 公司 提供 的 简单 、 快 捷 的 安全 配置 方法 ， 网 络 管 
理 员 在 分 析 完 服务 器 或 者 个 人 计算 机 的 操作 系统 后 ， 可 以 根据 当前 的 配置 状态 ， 调 整 当前 的 
配置 ， 然 后 发 布 到 应 用 环境 中 。 


5.4.1 预定 义 的 安全 模板 


在 Windows Server 2008 中 ， 提 供 了 许多 增 量 安全 模板 。 默 认 情况 下 ， 这 些 模板 存放 在 
Systemroot\Security\Templates 目录 中 ， 可 以 使 用 “安全 模板 ”管理 单元 自 定 义 这 些 模板 并 将 其 
导入 到 “组 策略 ”管理 单元 的 “安全 设置 ”扩展 中 。 

通常 包括 如 下 几 种 预定 义 的 安全 模板 。 

口 默认 工作 站 一 一 basicwk.inf. 

口 默认 服务 器 一 一 basicsv.inf。 

口 默认 域 控制 器 一 一 basicdc inf。 

口 兼容 工作 站 或 服务 器 一 一 compatws.inf。 

口 安全 工作 站 或 服务 器 一 一 securews.inf. 

口 高 度 安全 工作 站 或 服务 器 一 一 hisecws.inf。 


口 专用 域 控制 器 一 一 dedicadc inf. 
口 安全 域 控制 器 一 一 securedc inf 
口 高 度 安全 域 控制 器 一 一 hisecdc.inf。 


5.4.2 ”安全 等 级 


常规 分 析 作为 企业 风险 管理 程序 的 一 部 分 ， 允 许 网 络 管理 员 跟 踪 并 确保 在 每 台 计 算 机 上 
有 足够 的 安全 级 别 。 而 在 预定 义 的 安全 模板 中 包括 基本 、 兼 容 、 安 全 、 高 度 安 全 和 专用 域 控 
制 器 5 个 公用 安全 等 级 。 


基本 配置 的 模板 可 以 作为 一 种 方法 提供 以 反 转 不 同安 全 配置 的 应 用 程序 。 除 了 这 些 属于 
用 户 的 权限 之 外 ,基本 配置 可 以 将 Windows Server 2008 默认 的 安全 设置 应 用 于 所 有 安全 区 域 。 
因为 应 用 程序 安装 程序 通常 会 修改 用 户 权限 以 成 功 地 使 用 应 用 程序 ， 所 以 不 在 基本 模板 中 进 
行 修改 。 撤 销 这 些 修改 并 不 是 基本 配置 文件 的 目的 。 


Windows Server 2008 默认 的 安全 配置 为 本 地 Users 的 成 员 设置 了 严格 的 安全 性 ， 而 本 地 
Power Users 的 安全 设置 与 Windows NT 4.0 兼容 。 这 一 默认 配置 允许 在 提供 给 Users 的 标准 
Windows 环境 中 运行 经 Windows Server 2008 验证 过 的 应 用 程序 ， 同 时 还 允许 在 提供 给 Power 
Users 的 安全 性 稍 低 的 环境 下 运行 未 经 Windows Server 2008 验证 的 应 用 程序 。 但 是 ， 如 果 为 
了 运行 未 经 Windows Server 2008 验证 过 的 程序 而 让 用 户 成 为 Power Users 组 的 成 员 ， 这 对 某 
些 环境 就 太 不 安全 了 。 因 此 ， 在 默认 情况 下 ， 只 将 用 户 指派 为 Users 的 成 员 ， 然 后 将 Users 的 
安全 性 特权 级 降 至 Windows Server 2008 未 验证 的 应 用 程序 也 可 以 运行 ，Windows Server 2008 
为 这 样 的 组 织 设计 了 兼容 模板 。 通 过 降低 通常 由 应 用 程序 访问 的 特定 文件 、 文 件 夹 和 注册 表 
项 的 安全 级 别 ， 兼 容 模板 允许 大 多 数 的 应 用 程序 成 功 运行 。 此 外 ， 由 于 假定 应 用 兼容 模板 的 
网 络 管理 员 不 需要 用 户 成 为 Power Users， 因 此 将 删除 Users 的 所 有 成 员 。 


除 文件 、 文 件 夹 和 注册 表 项 外 ， 安 全 模板 是 对 所 有 的 安全 区 域 执行 推荐 的 安全 设置 。 
为 默认 情况 下 将 安全 地 配置 文件 系统 和 注册 表 权 限 ， 所 以 这 些 都 不 会 被 修改 。 


高 度 安全 模板 定义 Windows Server 2008 网 络 通信 的 安全 设置 。 设 置 安全 区 域 以 便 为 用 于 
运行 Windows Server 2008 的 计算 机 间 的 网 络 通信 和 协议 求 最 大 限度 的 保护 。 它 们 不 能 同时 运 
行 Windows 95/98/Me 或 Windows NT 的 计算 机 进行 通信 。 


在 默认 情况 下 , 运行 Windows Server 2008/2003 域 控制 器 上 的 本 地 用 户 安全 并 不 理想 。 这 


允许 网 络 管理 员 以 向 后 兼容 的 方式 运行 域 控制 器 上 现 有 的 基于 服务 器 的 应 用 程序 不 推荐 )。 
如 果 不 运行 域 控制 器 上 基于 服务 器 的 应 用 程序 (推荐 )， 默 认 的 本 地 用 户 组 文件 系统 和 注册 表 
权限 可 以 按照 与 Windows Server 2008/2003 工作 站 和 独立 服务 器 默认 定义 相同 的 方式 定义 。 通 
过 执行 专用 安全 模板 ， 这 些 理想 的 本 地 用 户 安全 设置 可 以 在 Windows Server 2008 域 控制 器 上 
应 用 。 


5.4.3 ”实施 安全 配置 和 分 析 


“安全 配置 和 分 析 ” 是 微软 公司 提供 的 一 款 免费 的 安全 配置 工具 ， 如 果 网 络 管理 员 对 安全 
模型 和 安全 理念 不 熟悉 ， 那 么 可 以 使 用 “安全 配置 和 分 析 ” 工 具 来 配置 服务 器 系统 安全 。 


在 Windows mme 管理 员 控制 台中 ,“ 安 全 配置 和 分 析 ” 管 理 单元 默认 没有 添加 ， 需 要 网 
络 管理 员 手动 将 其 添加 到 控制 台中 。 

首先 执行 【开始 】 代 和 运行】 命令 ， 在 弹出 的 对 话 框 中 ， 输 入 mme 命令 ， 在 打开 的 窗口 中 ， 
单 击 【文件 】 菜 单 ， 并 执行 【添加 /删除 管理 单元 】 命 令 ， 如 图 5-27 所 示 。 

接着 ， 在 弹出 对 话 框 中 的 【可 用 的 管理 单元 】 列 表 中 ， 选 择 【 安 全 配置 和 分 析 】 选 项 ， 
并 单 击 【添加 】 按 钮 。 然 后 ， 单 击 【确定 】 按 钮 ， 如 图 5-28 所 示 。 
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图 5-28 添加 安全 配置 和 分 析 管 理 单元 


。 2. 设置 安 全 数据 库 


在 默认 情况 下 ,【 安 全 配置 和 分 析 】 控 制 台中 ， 没 有 加 载 任何 安全 数据 库 ， 需 要 管理 员 手 
动 设 置 安全 数据 库 。 

在 【安全 配置 和 分 析 】 控 制 台 中 ， 右 击 【 安 全 配置 和 分 析 】 选 项 ， 并 执行 【打开 数据 库 】 
命令 ， 如 图 5-29 所 示 。 

在 弹出 的 对 话 框 中 ， 选 择 现 有 的 个 人 数据 库 ， 并 单 击 【 打 开 】 按 钮 ， 如 果 没 有 也 可 以 输 
入 文件 名 创建 新 的 安全 数据 库 ， 如 图 5-30 所 示 。 


避 文件 9 操作 和 0 查看 收藏 大 m) 窗口 m) 帮助 00 
EL 本 


图 5-29 打开 数据 库 图 5-30 选择 数据 库 


3. 分 析 系 统 安全 性 


通过 比较 系统 当前 的 状态 和 已 导入 到 数据 库 中 的 安全 模板 ， 安 全 配置 和 分 析 工 具 执 行 安 
全 分 析 。 此 模板 是 基本 配置 ， 并 且 它 是 包含 推荐 的 系统 安全 设置 的 模板 。 安 全 配置 和 分 析 工 
具 会 询问 基本 配置 中 所 有 安全 区 域 的 系统 安全 设置 ， 将 找到 的 值 与 基本 配置 进行 比较 。 如 果 
当前 的 系统 设置 与 基本 配置 的 设置 匹配 ， 则 假定 它们 正确 。 如 果 不 匹配 ， 则 将 有 问题 的 属性 
作为 需要 检查 的 潜在 问题 显示 。 

可 以 创建 数据 库 ， 导 入 模板 进行 分 析 ， 并 且 可 以 重复 导入 并 加 载 多 个 模板 。 数 据 库 将 各 
种 模板 合并 以 创建 一 个 复合 模板 ， 按 导入 顺序 解决 冲突 ; 当 有 冲突 时 ， 优 先导 入 最 新 的 模板 。 
一 旦 将 模板 导入 到 选择 的 数据 库 ， 就 可 以 分 析 或 配置 系统 。 

如 果 要 分 析 系 统 安全 性 ， 首 先 需要 在 【安全 配置 和 分 析 】 控 制 台中 ， 右 击 【 安 全 配置 和 
分 析 】 选 项 ， 并 执行 【立即 分 析 计 算 机 】 命 令 ， 如 图 5-31 所 示 。 

在 【进行 分 析 】 对 话 框 中 的 【错误 日 志文 件 路 径 】 文 本 框 中 ， 可 以 使 用 默认 的 错误 文件 
路 径 ， 或 者 输入 新 的 日 志 的 文件 名 和 有 效 路 径 ， 并 单 击 【确定 】 按 钮 ， 如 图 5-32 所 示 。 
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图 5-31 分 析 计算 机 图 5-32 设置 文件 存放 路 径 


当 系 统 对 安全 性 分 析 完 成 后 ， 在 控制 台中 ， 右 击 【 安 全 配置 和 分 析 】 选 项 ， 并 执行 【 查 
看 日 志文 件 】 命 令 ， 即 可 在 控制 台 右 侧 的 窗口 中 查看 到 日 志文 件 的 内 容 ， 如 图 5-33 所 示 。 


通过 安全 配置 和 分 析 工具 可 以 显示 安全 分 析 的 结果 ， 并 使 用 虚拟 标志 表明 问题 。 对 于 安 
全 区 域 中 的 每 个 安全 属性 ， 将 显示 当前 系统 和 基本 配置 的 设置 。 如 果 选 择 接受 当前 的 设置 ， 
将 修改 基本 模板 中 相应 的 值 以 与 此 设置 相 匹配 ， 如 果 更 改 系统 设置 以 匹配 基本 配置 ， 则 当 使 
用 安全 配置 和 分 析 配 置 系统 时 ， 这 些 更 改 将 会 被 反映 出 来 。 要 避免 已 检查 并 确定 为 合理 的 设 
置 连续 标记 ， 可 以 在 模板 的 副本 修改 基本 设置 。 

口 查看 安全 性 分 析 结果 

在 【安全 配置 和 分 析 】 控 制 台中 ， 依 次 展开 【安全 配置 和 分 析 】| 【账户 策略 】 节 点 ， 并 
单 击 想 要 查看 的 安全 策略 ， 如 密码 策略 ， 如 图 5-34 所 示 。 在 右 侧 窗 格 中 ,【 策 略 】 列 表 中 显示 
了 分 析 结 果 ;【 数 据 库 设 置 】 列 表 显 示 模 板 中 的 安全 值 ;【 计 算 机 设置 】 列 表 显 示 系统 中 的 当 
前 安全 策略 。 
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图 5-33 查看 日 志文 件 图 5-34 ”控制 台 窗 口 


另外 ， 还 会 包括 如 下 的 状态 标记 。 

口 “X” 表 明 与 基本 配置 有 差异 。 

口 “ 复 选 标记 ”表明 与 基本 配置 一 致 。 

口 没有 图 标 表 明 模 板 中 不 包含 安全 属性 ， 因 此 不 分 析 。 

例如 ,【 密 码 必 须 符 合 复杂 性 要 求 】 策 略 ， 在 安全 数据 库 中 的 设置 为 “启用 ”， 而 在 本 地 
的 系统 设置 为 “ 停 用 ”， 分 析 状 态 标 记 为 “X”， 表 示 配 置 不 同 。 而 【密码 最 长 存留 期 】 策 略 在 
安全 数据 库 中 的 设置 为 “42 天 ”， 在 本 地 的 系统 设置 也 为 “42 天 ”， 分 析 状 态 标记 为 “ 复 选 标 
记 ” 表示 配置 相同 。 

口 数据 库 策略 修改 

如 果 网 络 管理 员 认 为 安全 数据 库 的 安全 策略 不 符合 工作 需要 ， 可 以 更 改 目 前 的 数据 库 设 
置 ， 例 如 ， 更 改 【密码 最 长 使 用 期 限 】 策 略 。 

在 【安全 配置 和 分 析 】 控 制 台 的 【密码 策略 】 窗 格 中 ， 双 击 【 密 码 最 长 使 用 期 限 】 选 项 ， 
在 弹出 的 对 话 框 中 ， 启 用 【在 数据 库 中 定义 这 个 策略 】 复 选 框 。 然 后 ， 在 【密码 过 期 时 间 】 
文本 框 中 ， 将 原来 的 42 天 更 改 为 7 天 ， 如 图 5-35 所 示 。 

此 时 , 密码 最 长 存留 期 策略 在 安全 数据 库 中 的 策略 为 “7 天 ” 而 在 本 地 的 系统 设置 为 “42 


天 ”， 分 析 状 态 标 记 转 变 为 “X”， 表 示 配 置 不 同 ， 数 据 库 更 新 成 功 ， 如 图 5-36 所 示 。 
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图 5-35 【密码 最 长 使 用 期 限 】 对 话 框 图 5-36 ”安全 数据 库 更 新 成 功 


在 分 析 基 于 域 的 用 户 安全 性 时 ， 不 推荐 使 用 【立即 配置 系统 】 选 项 。 在 这 种 情况 下 ， 应 
该 返回 到 【安全 模板 】 管 理 单元 、 修 改 模板 ， 并 重新 将 它 应 用 于 适当 的 “组 策略 ”对 象 中 。 

口 系统 安全 模板 

无 论 何 时 要 更 改 原始 安全 模板 ， 都 必须 返回 到 “安全 模板 ”中 。 

安全 配置 和 分 析 工 具 提供 解决 显示 的 任何 策略 设置 值 的 功能 。 

如 果 根 据 此 计算 机 的 环境 〈 角 色 ) 确定 本 地 系统 的 安全 级 别 有 效 ， 则 接受 或 更 改 某 些 或 
所 有 的 已 标记 或 不 包含 在 配置 中 的 值 。 当 选择 “立即 配置 系统 ”时 ， 将 更 新 基本 配置 中 的 这 
些 属性 值 ， 并 将 它们 应 用 到 系统 。 

如 果 确 定 系 统 不 符合 有 效 的 安全 级 别 ， 则 将 系统 配置 为 原始 基本 配置 值 。 

根据 计算 机 的 角色 ， 将 更 适合 的 模板 导入 到 数据 库 中 作为 新 的 基本 配置 ， 并 把 它 应 用 于 
系统 中 。 

对 存储 在 数据 库 中 的 模板 进行 更 改 ， 而 不 是 对 安全 模板 文件 。 如 果 返 回 到 安全 模板 中 并 
编辑 此 模板 或 将 存储 的 配置 导出 到 相同 的 模板 文件 中 时 ， 才 会 修改 安全 模板 。 

口 安全 模板 应 用 

在 【安全 配置 和 分 析 】 控 制 台 中 ， 设 置 工作 数据 库 〈 如 果 当 前 没有 设置 工作 数据 库 ， 该 
步骤 是 必须 的 )。 

右 击 【 安 全 配置 和 分 析 】 选 项 ， 执 行 【立即 配置 系 
统 】 命 令 ， 在 弹出 的 对 话 框 中 提示 设置 分 析 日 志 存 储 位 
置 ， 通 常 可 以 选择 使 用 默认 的 错误 文件 路 径 ， 单 击 【 确 
定 】 按 钮 即 可 ， 如 图 5-37 所 示 。 当 然 ， 也 可 以 输入 新 的 
日 志 的 文件 名 和 有 效 路 径 。 当 系统 配置 完成 后 ， 就 可 以 图 5-37 【配置 系统 】 对 话 框 
检查 日 志文 件 或 复查 结果 。 


第 D 章 


系统 安全 策略 


引 .4.4 ”同等 心得 一 一 仿 业 条 第 一 扫 农 会 筑 续 

尽管 不 断 地 对 系统 进行 修补 ， 但 由 于 软件 系统 的 复杂 性 ， 新 的 安全 漏洞 总 会 层出不穷 
因此 ， 除 了 对 安全 漏洞 进行 修补 之 外 ， 还 要 对 系统 的 运行 状态 进行 实时 监控 ， 以 便 及 时 发 现 
利用 各 种 漏洞 的 入 侵 行为 。 如 果 已 有 安全 漏洞 但 还 没有 全 部 得 到 修补 时 ， 这 种 监控 就 显得 尤 @ 
其 重要 。 


一 1. 启用 系统 审核 机 制 


系统 审核 机 制 可 以 对 系统 中 的 各 类 事件 进行 跟踪 记录 并 写 入 日 志文 件 ， 以 供 管理 员 进 行 
分 析 、 查 找 系统 和 应 用 程序 故障 以 及 各 类 安全 事件 。 

所 有 的 操作 系统 、 应 用 系统 等 都 带 有 日 志 功 能 ， 因 此 可 以 根据 需要 实时 地 将 发 生 在 系统 
中 的 事件 记录 下 来 。 同 时 还 可 以 通过 查看 与 安全 相关 的 日 志文 件 的 内 容 来 发 现 黑客 的 入 侵 和 
入 侵 后 的 行为 。 


2. 日志 监视 

在 系统 中 启用 安全 审核 策略 后 ， 管 理 员 应 经 常 查看 安全 日 志 的 记录 ， 否 则 就 失去 了 及 时 
补救 和 防御 的 时 机 了 。 除 安全 日 志 外 ， 管 理 员 还 要 注意 检查 各 种 服务 或 应 用 的 日 志文 件 。 在 
Windows 2008 IIS 7.0 中 ， 其 日 志 功能 默认 已 经 启动 ， 并 且 日 志文 件 存放 的 路 径 默 认 在 
System32/LogFiles 目录 下 ,打开 IIS 日 志文 件 , 可 以 看 到 对 Web 服务 器 的 HITP 请 求 ，IS 7.0 
系统 自 带 的 日 志 功 能 从 某 种 程度 上 可 以 成 为 入 侵 检测 的 得 力 帮 手 。 


站 3， 监视 开放 的 端口 和 连接 一 


对 日 志 的 检查 只 能 发 现 已 经 发 生 的 入 侵 事 件 ， 但 是 对 正在 进行 的 入 侵 和 破坏 行为 无 能 为 
力 。 这 时 就 需要 管理 员 掌 握 一 些 基本 的 实时 监视 技术 。 

通常 在 系统 被 黑客 或 病毒 入 侵 后 ， 就 会 在 系统 中 留 下 木马 类 后 门 。 同 时 它 和 外 界 的 通信 
会 建立 一 个 Socket 会 话 连接 ， 这 样 就 可 能 发 现 它 ，netstat 命令 可 以 进行 会 话 状态 的 检查 ， 在 
这 里 就 可 以 查看 已 经 打开 的 端口 和 已 经 建立 的 连接 。 当 然 也 可 以 采用 一 些 专用 的 检测 程序 对 
端口 和 连接 进行 检测 。 


C 4 监视 共享 

通过 共享 入 侵 一 个 系统 是 最 常见 的 一 种 方法 。 如 果 防 范 不 严 ， 最 简单 的 方法 就 是 利用 系 
统 隐 含 的 管理 共享 。 因 此 ， 只 要 黑客 能 够 扫描 到 人 P 地 址 和 用 户 密码 ， 就 可 以 使 用 net use 命令 
连接 到 共享 上 。 另 外 ， 当 浏览 含有 恶意 脚本 的 网 页 时 ， 此 时 计算 机 的 硬盘 也 可 能 被 共享 ， 因 
此 ， 监 测 本 机 的 共享 连接 是 非常 重要 的 。 


站 5， 监视 进程 和 系统 信息 


对 于 木马 和 远程 监控 程序 ， 除 监视 开放 的 端口 外 ， 还 应 通过 任务 管理 器 的 进程 查看 功能 
进行 进程 的 查找 。 通 常 ， 隐 藏 的 进程 寄宿 在 其 他 进程 下 ， 因 此 查看 进程 的 内 存 映 象 也 许 能 发 


现 异 常 。 现 在 的 木马 越 来 越 难 发 现 ， 它 常常 会 把 自己 注册 成 为 一 个 服务 ， 从 而 避免 在 进程 列 
表 中 现形 。 因 此 ， 应 结合 对 系统 中 的 其 他 信息 的 监视 ， 这 样 就 可 对 系统 信息 中 的 软件 环境 下 
的 各 项 进行 相应 的 检查 。 


5.5 ”1PSec 安全 策略 


IPSec (Intemet Protocol Security，Internet 协议 安全 ) 策略 是 Windows Server 2008 中 自 带 
的 了 P 安全 策略 设置 组 件 ， 通 过 它 可 以 针对 网 络 数据 的 源 于 地址、 目的 下 地 址 以 及 使 用 的 协 
议 、 端 口 等 信息 进行 详细 的 设置 ， 可 以 管理 进程 计算 机 的 网 络 数据 包 。 也 就 是 说 ，IPSec 具有 
类 似 于 路 由 交换 设备 中 的 访问 控制 列表 功能 ， 控 制 着 数据 的 访问 权限 。 

IPSec 是 解决 网 络 安全 问题 的 重要 手段 , 可 以 为 专用 网 络 和 Intemet 建立 重要 的 安全 防线 ， 
并 使 得 网 络 安全 性 和 易 用 性 之 间 取 得 平衡 。IPSec 是 一 种 加 密 的 标准 ， 它 允许 在 差别 很 大 的 设 
备 之 间 进 行 安全 通信 。 利 用 IPSec 不 仅 可 以 构建 基于 操作 系统 的 防火 墙 , 实现 一 般 防 火 墙 的 功 
能 ， 还 可 以 为 许可 通信 的 2 个 端点 建立 加 密 的 、 可 靠 的 数据 通道 。 


5.5.1 IPSec 服务 


在 Windows Server 2008 安装 完成 后 ，IPSec 默认 以 服务 的 方式 存在 ， 但 未 被 启用 ， 需 要 
管理 员 手 动 启用 该 服务 。 

如 果 需 要 查看 并 启用 IPSec 服务 ， 首 先 需 要 执行 【开始 】| 【运行 】 命 令 ， 在 弹出 的 对 话 
框 中 , 输入 services.msc 命令 ,并 单 击 【确定 】 按 钮 。 然后 , 在 【服务 】 窗 口中 右 击 IPsec Policy 
Agent 选项 ， 并 执行 【属性 】 命 令 ， 如 图 5-38 所 示 。 

在 弹出 的 对 话 框 中 ， 设 置 该 服务 的 启动 类 型 为 “自动 〈 延 时 启动 )”， 并 单 击 【 应 用 】 按 
钮 ， 然 后 ， 单 击 【 启 动 】 按 钮 ， 启 动 该 服务 ， 如 图 5-39 所 示 。 
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5.5.2 创建 IPSec 连接 安全 规则 


IPSec 连接 安全 规则 允许 用 户 为 满足 指定 标准 的 联机 请 求 IPSec, 这 些 标准 类 似 于 Windows 
防火 墙 筛选 器 。 例 如 ， 用 户 可 以 为 如 下 情况 设置 IPSec 安全 规则 。 

口 拒绝 来 自 指定 耳 地 址 的 所 有 通信 人。 

口 拒绝 所 有 来 自 默认 网 关 的 ICMP 通信 。 

口 拒绝 所 有 来 自 内 网 的 发 往 指定 端口 的 通信 。 

口 限制 除了 特定 服务 器 的 所 有 出 站 连接 。 

在 网 络 中 ， 每 一 台 计 算 机 只 能 拥有 一 个 IPSec 策略 。 如 果 多 个 策略 应 用 于 同一 台 计 算 机 ， 
每 个 组 策略 都 有 不 同 的 IPSec 策略 ， 那 么 只 有 最 高 级 的 IPSec 策略 会 起 作用 。 

如 果 要 创建 IPSec 策略 ， 首 先 需要 执行 【开始 】|【 管 理工 具 】|【 高 级 安全 Windows 防火 
墙 】 命 令 ， 在 打开 的 窗口 中 ， 选 择 【 连 接 安全 规则 】 选 项 。 然 后 ， 在 右 侧 【 操 作 】 窗 格 中 ， 
单 击 【新 规则 】 选 项 ， 如 图 5-40 所 示 。 

在 【规则 类 型 】 对 话 框 中 ， 选 中 【 自 定义 】 单 选 按钮 ， 并 单 击 【下 一 步 】 按 钮 ， 如 图 5-41 
所 示 。 对 于 该 对 话 框 中 的 其 他 选项 有 如 下 说 明 。 


二 拉 要 的 葡 血 按 安全 共有 天 型 。 
多 量 : 
访 要 刍 的 连接 安全 规 RI) 类 型 
一 
* 闪 结 点 
ee 要 求 ein RA 
身份 洽 方 二 re 
人 未 目 特定 计 革 机 的 接 不 进行 身 从 验证 * 
文件 四。 操作 CA) 直 看 0 帮助 o0 名 和 和 天 


都 只 | 帮 [| [3| 回 [后 当 定 计算 机 之 间 的 身份 交 证 连接 


| | 


图 5-40 【高 级 安全 Windows 防火 墙 】 窗 口 图 5-41 选择 规则 类 型 


口 隔离 ”可 根据 用 户 定义 的 身份 验证 标准 对 连接 进行 限制 。 例如 , 可 以 使 用 该 规则 类 型 ， 
隔离 域 中 的 计算 机 和 域外 的 计算 机 。 

口 身份 验证 例外 可 以 使 用 该 规则 类 型 ,使 特定 的 计算 机 或 者 指定 范围 内 的 四 地 址 ( 计 
算 机 )， 免 于 对 自身 进行 身份 验证 ， 而 不 考虑 其 他 连接 安全 规则 。 

口 服务 器 到 服务 器 ”使 用 此 规则 类 型 对 两 台 特定 计算 机 之 间 、 两 个 计算 机 组 之 间 、 两 个 
子 网 之 间或 者 特定 计算 机 和 计算 机 组 或 子 网 之 间 的 通信 ， 进 行 身份 验证 。 

口 隧道 ”如 果 在 不 知 IPSec 的 网 络 中 ,为 支持 IPSec 的 客户 端 和 服务 器 创建 IPSec 连接 安 
全 规则 ， 则 必须 使 用 隧道 模式 。 
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口 自 定义 ”使 用 该 规则 类 型 创建 需要 特殊 设置 的 规则 。 

在 【终结 点 】 对 话 框 中 ， 选 中 【终结 点 1 中 的 计算 机 】 区 域内 的 【下 列 人 P 地 址 】 单 选 按 
钮 ， 单 击 【 添 加 】 按 钮 。 然 后 ， 在 弹出 的 【下 地址】 对 话 框 中 的 【此 下 地址 或 子 网 】 文本 框 
中 输入 添加 的 他 地 址 ， 并 单 击 【确定 】 按 钮 ， 如 图 5-42 所 示 。 

在 接 下 来 弹出 的 对 话 框 中 ， 保 持 默 认 设置 ， 依 次 单 击 【下 一 步 】 按 钮 即 可 ， 直 到 在 弹出 
的 【名 称 】 对 话 框 中 的 【名 称 】 文 本 框 内， 输入 该 规则 的 名 称 以 及 在 【描述 〈 可 选 )】 文 本 杠 
内 输入 对 该 规则 的 描述 信息 。 然 后 ， 单 击 【 完 成 】 按 钮 ， 如 图 5-43 所 示 。 


| 
终结 点 
指定 相互 之 利信 用 JPSse 建立 的 加 束 话 榜 的 计算 机 。 
轴 归 : 
型 在 计算 机 终结 点 ! 和 终结 点 2 之 问 创建 安全 连接 。 名 称 
了 终结 点 终结 点 1 中 的 计算 机 指定 此 规则 9 名 称 和 扬 述 
.二 个 任 合 卫 李 址 开 ) 
身价 证 方法 全 下 到 本 地址 0); 芗 名 : 
. 
a [Es | ks 到 
的 指 宝 页 划 的 TP 地 性 ; 肌 生 恋 本 终 颖 点 【输入 ] 
此 中 地 机 可 了 网 A Ji 于 汪 
Rn - a Se 
到 ee | > 
190, 168. 1.0/24 配置 文件 闹 述 同和 运 ) 
2002 Bd3b: 1 31 :4:208 T4EE: £439:6e43 名称 [| 
sat 
ET 
I 
< 上 -gp0)] TF-»m > | WN < 上 -0) 取消 
图 5-42 设置 终结 点 图 5-43 “创建 规则 完成 


5.6 ”操作 实例 


5.6.1] 揭 市 完 伞 


在 网 络 中 ， 若 系统 账户 没有 做 任何 策略 ， 入 侵 者 只 要 具有 足够 的 耐心 ， 通 过 使 用 自动 登 
录 及 密码 猜 解 字典 工具 进行 攻击 ， 那 么 破解 密码 只 是 一 个 时 间 和 运气 上 的 问题 。 为 了 避免 这 
种 情况 的 发 生 ， 就 要 设置 相应 的 安全 策略 ， 以 限制 外 部 链接 ， 保 证 网 络 及 系统 的 安全 。 


C 1. 实例 目的 1) 
口 应 用 各 种 策略 。 
口 防范 各 种 攻击 。 
口 保障 系统 安全 。 


Qa 2. 实例 步骤 1) 
(1) 在 桌面 单 击 【开始 】 菜 单 ， 执 行 【 程 序 】|【 管 理工 具 】|【 本 地 安全 策略 】 命 令 ， 在 
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弹出 的 窗口 中 ， 展 开 【 账 户 策略 】 节 点 ， 选 择 【 密 码 策略 】 选 项 。 然 后 ， 双 击 【 密 码 必须 符 
合 复 杂 性 要 求 】 策 略 ， 如 图 5-44 所 示 。 
(2) 在 弹出 的 对 话 框 中 ， 选 中 【已 启用 】 单 选 按钮 ， 并 单 击 【 确 定 】 按 钮 ， 如 图 5-45 


寅 开交 须 符合 复杂 性 系 求 局 性 


Ec== 


ee ° 人 (+ je 
中 和 三 万， 0 个 记 
二 钦 伯 币 生 吧 OB 有 
由 [Et 用 多 
aa 站 = 四 Cm CR 
le ， 
应 用 区) 


图 5-44 选择 密码 策略 图 5-45 ”启用 该 策略 


(3) 在 【密码 策略 】 中 ， 双 击 【 密 码 长 度 最 小 值 】 策 略 ， 在 弹出 的 对 话 框 的 文本 框 中 输 
入 数字 “8”， 并 单 击 【 确 定 】 按 钮 ， 如 图 5-46 所 示 。 


密码 至 少 是 8 个 字符 ， 最 长 为 14 个 字符 ， 字 符 数 设置 为 0 时 ， 表 示 不 需要 密 
码 。 在 域 控 制 器 上 的 默认 值 为 7， 而 在 独立 服务 器 上 为 0。 


(4) 在 【密码 策略 】 中 ， 双 击 【 密 码 最 长 存留 期 】 策 略 ， 在 弹出 对 话 框 的 文本 框 中 输入 
“7”， 并 单 击 【 确 定 】 按 钮 ， 如 图 5-47 所 示 。 


寅 码 最 卡 存 氏 期 居 性 


[ne | 如 和 此 要 E25 
1 Ca 四 ee 
| 让 
国人 在 CS = 
图 5-46 设置 最 小 密码 长 度 图 5-47 设置 密码 过 期 时 间 


(5) 在 【本 地 安全 设置 】 主 窗口 中 ， 选 择 【 账 户 锁定 策略 】， 并 双击 【账户 锁定 阔 值 】 策 
略 ， 如 图 5-48 所 示 。 
(6) 在 弹出 的 对 话 框 的 文本 框 中 输入 “3”， 并 单 击 【确定 】 按 钮 ， 如 图 5-49 所 示 。 


帐户 锁定 闪 值 必 性 
ES 
帐户 镇 定 同和 


由 国 公 钼 策略 Es 
出 加 次 信 限 宙 策 略 i [a 
蝎 工 安生 策略 ,在 本 地 i 次 元 入 时 好 


图 5-48 ”双击 账户 锁定 阔 值 图 5-49 ”设置 锁定 账户 阔 值 
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在 3 次 无 效 登 录 后 ， 用 户 将 被 锁定 。 这 个 数值 介 于 0 到 999 之 间 ， 如 果 将 值 
设置 为 0， 则 永远 不 会 锁定 账户 。 


(7) 在 弹出 的 对 话 框 中 ， 单 击 【 确 定 】 按 钮 ， 如 图 5-50 所 示 。 

(8) 执行 【开始 】 代 运行 】 命 令 ， 在 弹出 的 对 框 内 输入 cmd 命令 ， 并 单 击 【确定 】 按 钮 。 
在 弹出 的 命令 提示 符 窗 口中 输入 net user shenglin !lshenglin /add 和 net user shenglin !! 
sheng951 /add 命令 后 分 别 按 回 车 键 ， 如 图 5-51 所 示 。 


攻守 网 入 的 刘 在 是 次 下 和 对， 下 中 的 生生 0 


ED 
国名 位 由 户 久 寺 凤 器 
天 帐户 馈 定 时 间 

< 


图 5-50 ”默认 其 他 设置 图 5-51 验证 策略 是 否 生效 


第 1 个 命令 的 意思 : 建立 用 户 shenglin， 并 设立 密码 为 !! shenglin， 结 果 是 不 
能 够 完成 执行 命令 。 第 二 个 命令 的 意思 : 建立 用 户 shenglin 并 设立 密码 
为 !Ishenglin951， 结 果 是 能 够 成 功 执行 命令 。 原因: 第 1 个 命令 不 符合 密码 复 
杂 性 的 策略 要 求 ， 而 第 2 个 符合 。 


(9) 在 【登录 到 Windows】 对 话 框 的 【用 户 名 】 和 【密码 】 文 本 框 中 ， 输 入 用 户 名 和 密 
码 (输入 3 次 错误 的 密码 )， 并 单 击 【确定 】 按 钮 ， 如 图 5-52 所 示 。 

(10) 在 该 对 话 框 中 ， 再 次 输入 相应 的 用 户 名 和 密码 〈 输 入 正确 的 用 户 名 和 密码 )， 并 单 
击 【 确 定 】 按 钮 。 然 后 ， 在 弹出 的 对 话 框 中 ， 单 击 【确定 】 按 钮 ， 如 图 5-53 所 示 。 


登录 消息 加 


A sm Cie, ET. Wr 


加 .| [ 造 页 o) 《< 


图 5-52 ”验证 策略 是 否 生 效 图 5-53 ”账户 被 锁定 ， 策 略 生效 


在 3 次 无 效 登 录 后 ， 该 用 户 账户 即 被 锁定 ， 即 使 输入 正确 的 用 户 名 和 密码 ， 
也 不 能 够 登录 系统 。 因 此 ， 验 证 了 本 地 安全 策略 能 够 防范 他 人 通过 自动 登录 
工具 和 密码 猜 解 字典 进行 攻击 ， 从 而 起 到 限制 外 部 链接 的 作用 。 
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5.8.2 揭 信 实名 


防范 周 私 县 深 


由 于 局 域 网 采用 广播 的 方式 进行 通信 ， 因 而 信息 很 容易 被 窍 听 。 网 络 嗅 探 就 是 通过 侦 听 
所 在 网 络 中 所 传输 的 数据 来 嗅 探 有 价值 的 信息 。 对 于 普通 的 网 络 嗅 探 的 防御 并 不 困难 ， 可 以 
采用 IPSec 安全 策略 〈 启 到 加 密 通 信 数 据 的 作用 )。 


@ 1. 实例 目的 站 
口 开局 审核 策略 。 
口 激活 IPSec。 

口 验证 IPSec 建立 。 


C 2. 实例 步骤 天 

(1) 在 一 个 网 络 中 ， 有 一 台 安 全 服务 器 和 一 台 客户 端 ， 其 他 分 别 是 “192.168.1.1” 和 
“192.168.1.2”， 拓扑 结构 如 图 5-54 所 示 。 

(2) 在 安全 服务 器 中 ， 单 击 【 开 始 】 菜单， 执行 【程序 】| 【管理 工具 】|【 本 地 安全 策略 】 
命令 ， 在 打开 的 窗口 中 ， 展 开 【 本 地 策略 】 节 点 ， 单 击 【 审 核 策略 】 选 项 。 然 后 ， 在 右 侧 的 
窗 格 中 双击 【审核 登录 事件 】 策 略 ， 如 图 5-55 所 示 。 


排 作 必 ) 查看 中 特 助 0 


客户 端 
192.168.1.2 


EE 
国定 码 程 意味 
一 硬 术 上 好 最 务 配 各 


192.168.1.1 


图 5-54 ”拓扑 结构 示意 图 图 5-55 ”本 地 安全 设置 


(3) 在 弹出 的 对 话 框 中 ， 启 用 【成 功 】 和 【失败 】 复 选 框 ， 并 依次 单 击 【 应 用 】 和 【 确 
定 】 按 钮 ， 如 图 5-56 所 示 。 


和 不 论 用 户 登 录 成 功 或 失败 ， 都 会 被 记录 在 安全 日 志 内 。 


(4) 在 【审核 策略 】 选 项 中 ， 双 击 【审核 对 象 访问 】 策 略 ， 在 弹出 的 对 话 框 中 ， 启 用 【成 
功 】 和 【失败 】 复 选 框 ， 并 依次 单 击 【 应 用 】 和 【确定 】 按 钮 ， 如 图 5-57 所 示 。 


[a 其 他 用 户 访问 本 地 计算 机 时 ， 不 论 成 功 或 失败 都 会 被 记录 在 系统 日 志 中 。 ] 


(5) 在 【本 地 安全 设置 】 窗 口中 ， 选 择 【了 安全 策略 ， 在 本 地 计算 机 】 选 项 ， 在 右 侧 的 
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窗 格 中 ， 双 击 【 安 全 服务 器 (需要 安全 )】 策 略 ， 如 图 5-58 所 示 。 


定 柳 全 录 事 件 避 性 


图 5-56 ”应 用 该 策略 图 5-57 审核 账户 登录 事件 


(6) 在 弹出 的 对 话 框 中 ， 双 击 【 所 有 四 通 讯 量 】 选 项 ， 如 图 5-59 所 示 。 


安全 服务 器 【再 要 安全 》 属性 
CLUE 


i 
文件 时 换 作 QQ) 查看 尼 ) 帮助 加 | 亚 安全 规则 (I) 
+ + 饭 X 针 本 国生 ET 
回 所 有 I? 通讯 县 。 需要 安 Kerberos 


无 
回 所 有 ICIF 通讯 量 许可 ， Kerberos 无 
3 的 本 地 | rr a EE Kabeot 无 
be 
昌国 欢 必 限 人 各 略 | 
| 


< > 
征 加 中) | 屎 使用“ 沫 加 向 时” 


= 
图 5-58 ”本 地 安全 设置 图 5-59 ”修改 默认 配置 


(7) 在 【编辑 规则 属性 】 对 话 框 中 ， 选 择 【身份 验证 方法 】 选 项 卡 ， 并 单 击 【 添 加 】 按 
钮 ， 如 图 5-60 所 示 。 


(8) 在 弹出 的 对 话 框 中 ， 选 中 【使 用 此 字符 串 〈 预 共享 密 钥 )】 单 选 按钮 ， 并 在 下 方 的 文 
本 框 中 输入 “123456” 字 符 串 。 然 后 ， 单 击 【确定 】 按 钮 ， 如 图 5-61 所 示 。 


编辑 规则 属性 


身份 验证 方法 属性 


[TT 二 而 衣 | 请 细作 身 从 验证 方 法 [ 随 放 让 生 | 连 扩 条 向 
人 Er 人 Tia, 
phd and pr hetive Directory 昧 但 Werberes 是 切 以)@) 
二 四 机 的 AN) 全 的 王 书 避 ) 
En 
一 -一 3 (##] 
CE Cw 


图 5-60 添加 身份 验证 方法 


图 5-61 添加 预 共享 密 钥 


加 预 共 享 密 铀 字符 囊 可 以 随意 定义 ， | 
= 


(9) 在 【编辑 规则 属性 】 对 话 框 中 ,依次 单 击 【 应 用 】 和 【确定 】 按 钮 如 图 5-62 所 示 。 
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Kerberos 身份 验证 方法 不 能 在 Windows XP 系统 内 使 用 , 因此 使 用 预 共享 密 钥 
身份 验证 方法 。 


(10) 使 用 同样 的 方法 , 更改 【所 有 ICMP 通讯 量 】 和 【动态 】 的 身份 验证 方法 , 单 击 【 确 
定 】 按 钮 ， 如 图 5-63 所 示 。 


安全 服务 器 (二 要 完全) 属性 
[ 亚 大 二 | 请 过 册 扫 作 | 身 办 区 二 方法“ 贿 痢 有 重 | 这 和 型 [| 
| 


身份 验证 方法 首选 屈 序 昌 ) 
7 法 


KE 计算 机 通讯 的 安全 规则 


匡 安全 规则 民 ): 


3 身份 验证 方法 隧道 六 
回 所 有 I? 通讯 县 。 需要 安全 也 e 才 共享 的 ， 无 

加 所 有 ICIF 通 计量 许可 预 汽 共享 的 ，， 无 
[2 蚂 认 响应 预 咏 共享 的 ，， 无 

< 


> 
天 加 中) 3 吉 辽 凶 ) | 订 便 用 “添加 问 导 ”t) 


图 5-62 ”应 用 预 共 享 密 钥 图 5-63 ”修改 完成 
(11) 在 【本 地 安全 设置 】 窗 口中 ， 右 击 【 安 全 服务 器 (需要 安全 )】 选 项 ， 并 执行 【 指 
派 】 命 令 ， 如 图 5-64 所 示 。 


(12) 在 客户 机 桌面 中 ， 如 第 (2) 步 所 示 ， 打 开 【 本 地 安全 设置 】 窗 口 ， 选 择 【 卫 安全 


策略 ， 在 本 地 计算 机 】 选 项 ， 并 双击 【客户 端 〈 仅 响应 )】 策 略 ， 按 如 上 步骤 添加 并 修改 身 
份 验证 方法 ， 依 次 单 击 【应 用 】 和 【确定 】 按 钮 ， 如 图 5-65 所 示 。 
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图 5-64 激活 安全 服务 器 端 IPSec 图 5-65 ”应 用 预 共 享 密 钥 


(13) 在 【本 地 安全 设置 】 窗 口 的 右 侧 窗 格 中 ， 右 击 【 客 户 端 ( 仅 响应 )】 选 项 ， 并 执行 
【指派 】 命 令 ， 如 图 5-66 所 示 。 


(14) 执行 【开始 】| 【运行 】 命 令 ， 在 弹出 的 对 框 内 输入 cmd 命令 ， 并 单 击 【确定 】 按 
钮 。 在 弹出 的 【命令 提示 符 】 窗 口中 输入 ping 192.168.1.1 命令 ， 按 回 车 键 ， 如 图 5-67 所 示 。 

(15) 执行 【开始 】| 【程序 】| 【管理 工具 】| 【事件 查看 器 】 命 令 ， 在 打开 的 窗口 中 ， 展 
开 【 事 件 查看 器 】 节 点 ， 选 择 【 安 全 性 】 选 项 。 在 右 侧 的 窗 格 中 ， 逐 个 双击 【成 功 审核 】 事 
件 ， 如 图 5-68 所 示 。 


(16) 在 【事件 属性 】 对 话 框 中 ， 用 户 可 以 查看 到 【描述 】 文 本 框 内 的 内 容 ， 如 图 5-69 
所 示 。 
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图 5-68 查看 安全 日 志 图 5-69 ”IKE 安全 关联 成 功 建立 


IKE 安全 关联 成 功 建立 后 ,安全 服务 器 和 客户 机 通信 时 ,使 用 嗅 探 工具 截获 的 


b 队 ” 都 是 经 过 加 密 的 数据 。 因此， 可 以 防范 网 络 嗅 探 。 


在 单位 或 公司 网 络 中 ， 通 过 限制 特权 组 成 员 ， 能 够 降低 恶意 软件 及 用 户 意外 错误 配置 所 
带 来 的 安全 风险 。 同 时 ， 也 增强 了 系统 的 安全 性 及 可 管理 性 。 


a 


口 限制 特权 组 成 员 。 
口 保障 系统 安全 。 


(1) 在 桌面 执行 【开始 】| 代 运行】 命令， 在 弹出 的 对 话 框 中 输入 mmc 命令 ， 并 单 击 【 确 
定 】 按 钮 。 在 打开 的 窗口 中 , 单 击 【 文 件 】 菜单 ,执行 【添加 /删除 管理 单元 】 命 令 , 如 图 5-70 


系统 安全 策略 


所 示 。 


第 D 章 


(2) 在 弹出 的 对 话 框 中 ， 单 击 【添加 】 按 钮 ， 在 【可 用 的 独立 管理 单元 】 列 表 中 ， 选 择 


【安全 模板 】 选 项 ， 依 次 单 击 【添加 】 和 【关闭 】 按 钮 ， 如 图 5-71 所 示 。 


薄 加 独立 管理 单元 


控制 台 1 -[ 镁 制 台 根 节点 ] 


退出 多 


全 您 朋 在 管理 单元 控制 冲 梁 加 或 机 陈 入 理 单元 


图 5-70 管理 控制 台 主 界面 图 5-71 添加 独立 管理 单元 


(3) 在 【添加 /删除 管理 单元 】 对 话 框 中 ， 单 击 【确定 】 按 钮 ， 如 图 5-72 所 示 。 


(4) 在 【控制 台 1] 主 界面 中 , 展开 【 安全 模板 】 节 点 , 并 右 击 C: \WINDOWS\securityimplates 


节点 ， 执 行 【 新 加 模板 】 命 令 ， 如 图 5-73 所 示 。 
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图 5-72 添加 安全 模板 图 5-73 新 加 安全 模板 


帮助 


四 用 户 可 以 使 用 系统 默认 的 安全 模板 ， 也 可 以 创建 自己 需要 的 新 安全 模板 。 ) 


(5) 在 弹出 对 话 框 的 【模板 名 】 文 本 框 内 输入 名 称 ， 如 “New security”， 在 【描述 】 文 本 


框 内 输入 描述 内 容 ， 如 “限制 特权 组 成 员 ”， 并 单 击 【确定 】 按 钮 ， 如 图 5-74 所 示 。 


(6) 在 【控制 台 1】 窗 口中 ， 依 次 展开 New security 和 【 受 限制 的 组 】 节 点 ， 并 在 右面 窗 
格 任意 处 右 击 执行 【添加 组 】 命 令 ， 在 【添加 组 】 对 话 框 中 ， 输 入 “administrators”( 组 名 )， 


并 单 击 【确定 】 按 钮 ， 如 图 5-75 所 示 。 
(7) 在 弹出 的 对 话 框 内 ， 单 击 【 添 加 】 按 钮 ， 如 图 5-76 所 示 。 
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ET 
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图 5-74 命名 模板 图 5-75 ”添加 管理 员 组 图 5-76 添加 管理 员 的 成 员 


(8) 在 【添加 成 员 】 对 话 框 ， 输 入 “XP1\Administrator”( 本 地 管理 
按钮 ， 如 图 5-77 所 示 。 


E 员 )， 并 单 击 【 确 定 】 


(9) 在 【administrators 属性 】 对 话 框 中 ， 依 次 单 击 【 应 用 】 和 【确定 】 按 钮 ， 如 图 5-78 


所 示 。 
(10) 关闭 【控制 台 1】 主 界面 ， 在 【保存 安全 模板 】 对 话 框 中 ， 单 击 【 是 】 按 钮 ， 如 图 
5-79 所 示 。 
[ow 本 于 成份 
这 个 提取 呐 有 
WEI Wninistr ter 
CE] 
保存 安全 模板 
这 个 但 隶属 于 CD) 
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CD 
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[Plainiatrater 
Cx] 
图 5-77 添加 成 员 图 5-78 ”应 用 配置 图 5-79 保存 安全 模板 


(11) 在 桌面 执行 【开始 】| 【运行 】 命令， 在 弹出 的 对 话 框 中 输入 cmd 命令 ,并 单 击 【 确 
定 】 按 钮 , 在 【命令 提示 符 】 窗口 中, 输入 gpupdate /target: computer 命令 (刷新 计算 机 策略 )， 


如 图 5-80 所 示 。 


:ADocunents and Settings \Adninistrator>gpupdats /target:conputer 


在 剧 订 策略 
nputer 策略 出 新 元 度 。 
四 | 


图 5-80 刷新 策略 


系统 漏洞 修补 


“Os 


系统 漏洞 是 指 操作 系统 软件 或 应 用 程序 软件 ， 在 逻辑 设计 上 存在 的 缺陷 或 在 编写 时 产生 
的 错误 ， 而 这 些 缺 陷 或 错误 有 可 能 被 非法 用 户 〈 如 黑客 ) 利用 ， 并 将 木马 程序 或 病毒 等 有 害 
程序 安装 到 本 地 计算 机 中 ， 从 而 实现 远程 控制 计算 机 ， 窃 取 用 户 重 要 资料 和 信息 ， 甚 至 破坏 
网 络 系统 的 目的 。 

与 其 他 版 本 的 Windows 操作 系统 相 比 ，Windows Server 2008 操作 系统 的 安全 性 已 经 有 了 
很 大 的 提高 ， 但 是 几乎 每 天 还 会 有 新 的 漏洞 被 发 现 。 目 前 ， 及 时 安装 系统 更 新 是 应 对 系统 漏 
洞 最 有 效 的 方法 。 本 章 对 系统 漏洞 的 概念 、 预 警 、 更 新 等 方面 的 知识 进行 讲解 ， 使 读者 充分 
认识 到 系统 漏洞 修补 的 重要 性 和 必要 性 。 


> 了 解 漏洞 的 特性 、 生 命 周期 

> 熟悉 漏洞 管理 流程 

> 了 解 漏洞 预警 

> 了 解 WSUS 及 掌握 如 何 配置 WSUS 服务 器 及 客户 端的 方法 
> 熟悉 漏洞 修补 方略 


6.1 漏洞 概述 


客观 地 讲 ， 系 统 漏洞 是 无 法 避免 的 ， 对 于 Windows 操作 系统 而 言 ， 新 版 本 操作 系统 在 弥 
补 旧版 操作 系统 漏洞 的 同时 ， 还 会 引入 一 些 新 的 漏洞 。 这 些 漏洞 ， 往 往 会 被 病毒 、 木 马 所 利 
日 并 入 侵 计算 机 系统 。 应 对 系统 漏洞 最 好 的 方法 就 是 制定 完善 的 修补 策略 ， 及 时 修补 漏洞。 
漏洞 除了 系统 《硬件 、 软 件 ) 本身 固有 的 缺陷 之 外 ， 还 包括 用 户 对 系统 的 不 正确 配置 、 管 理 
以 及 制度 上 的 风险 ， 或 由 其 他 非 技术 性 因素 造成 的 系统 不 安全 。 


6.1.1 漏洞 的 特性 


~ 


通常 ， 普 通用 户 都 是 在 产品 供应 商 公 布 产 品 漏洞 后 ， 才 得 知 漏洞 消息 的 。 而 从 信息 安全 
的 角度 来 讲 ， 是 先 有 漏洞 和 对 漏洞 攻击 的 可 能 性 ， 才 有 补丁 的 出 现 。 漏 洞 是 攻击 者 所 有 攻击 
的 目标 ， 而 安装 补 本 是 对 漏洞 的 修补 过 程 。 漏 洞 是 广泛 存在 的 ， 在 不 同 的 设备 、 操 作 系统 以 
及 应 用 系统 中 都 会 存在 安全 漏洞 。 

漏洞 具有 自身 的 特性 ， 通 常 包括 如 下 4 个 方面 。 


任何 系统 漏洞 都 是 在 用 户 不 断 地 使 用 过 程 中 被 发 现 的， 随后 系统 供应 商 采 取 新 版 本 蔡 代 
旧版 本 ， 或 是 发 布 补丁 程序 等 方式 来 弥补 漏洞 。 随 着 上 昌 漏 洞 的 消失 ， 在 新 环境 下 的 新 漏洞 又 
会 随 之 产生 。 因 此 ， 系 统 漏洞 只 是 存在 于 特定 的 时 间 和 环境 下 ， 也 就 是 说 ， 它 只 能 针对 目标 
系统 的 系统 版 本 、 其 上 运行 的 软件 版 本 ， 以 及 服务 运行 设置 等 实际 环境 。 


I 


漏洞 会 影响 到 大 范围 的 软 、 硬 件 设 备 ， 包 括 操作 系统 本 身 及 其 支持 的 软件 平台 、 网 络 客 
户 端 和 服务 器 软件 、 网 络 路 由 器 和 安全 防火 墙 等 。 也 就 是 说 ， 在 这 些 不 同 的 软 、 硬 件 设备 中 ， 
都 可 能 存在 不 同 的 系统 漏洞 问题 。 例 如 ， 不 同 种 类 的 软 、 硬 件 设备 之 间 ， 同 种 设备 的 不 同 版 
本 之 间 ， 以 及 不 同 设备 构成 的 不 同系 统 之 间 ， 同 种 系统 在 不 同 的 设置 条 件 下 ， 都 会 存在 不 同 
的 安全 漏洞 。 


I 


安全 漏洞 是 最 常见 的 系统 漏洞 类 型 之 一 。 入 侵 者 借助 这 些 漏 洞 ， 可 以 绕 过 系统 中 的 许多 
安全 配置 ， 从 而 达到 入 侵 系 统 的 目的 。 安 全 漏洞 的 出 现 ， 是 由 于 对 安全 协议 的 具体 实现 中 发 
生 了 错误 ， 意 外 出 现 的 非 正常 情况 。 而 在 实际 系统 中 ， 都 会 存在 不 同 程度 的 潜在 错误 ， 因 此 ， 
在 所 有 的 系统 中 都 存在 着 安全 漏洞 ， 无 论 这 些 漏洞 是 否 已 经 被 发 现 ， 也 无 论 该 系统 的 安全 级 
别 如 何 。 在 一 定 程度 上 ， 安 全 漏洞 问题 是 存在 于 系统 本 身 的 理论 安全 级 别 上 的 。 也 就 是 说 ， 
并 不 是 系统 所 属 的 安全 级 别 越 高 ， 系 统 中 所 存在 的 漏洞 就 越 少 。 


i 


漏洞 是 特定 环境 和 时 间 下 的 必然 产物 ， 只 有 被 发 现 后 ， 才 会 被 一 些 人 用 来 入 侵 系统 或 弥 
补 系统 。 在 实际 使 用 过 程 中 ， 用 户 会 发 现 系统 中 存在 的 错误 。 入 侵 者 会 利用 其 中 的 某 些 错误 ， 
使 其 成 为 威胁 系统 安全 的 工具 ， 也 就 是 常 说 的 系统 安全 漏洞 。 当 系统 供应 商 发 现 漏洞 会 尽快 
发 布 针对 该 漏洞 的 补丁 程序 ， 以 纠正 此 错误 。 这 也 是 系统 安全 漏洞 从 被 发 现 到 被 纠正 的 一 般 
过 程 。 


6.1.2 漏洞 生命 周期 


由 于 漏洞 造成 的 安全 问题 具有 一 定 的 时 效 性 ， 也 就 是 说 每 一 个 漏洞 都 存在 一 个 和 产品 相 
类 似 的 生命 周期 的 概念 。 人 们 只 有 对 漏洞 生命 周期 的 概念 进行 研究 并 且 分 析出 它 所 具有 的 规 
律 ， 才 能 真正 解决 漏洞 危害 。 

通常 生命 周期 的 定义 是 : 漏洞 从 客观 存在 到 被 发 现 、 利 用 ， 到 大 规模 危害 和 逐渐 消失 ， 
这 期 间 存 在 一 个 生命 周期 ， 该 周期 即 漏洞 生命 周期 。 

以 “冲击 波 (MSBlaster)” 蠕 虫 病毒 为 例 ， 漏 洞 生命 周期 包括 如 下 5 个 基本 阶段 。 


i 


2003 年 7 月 16 日 ， 微 软 公司 公布 了 MS03-026 Microsoft Windows DCOM RPC 接口 远程 


缓冲 区 溢出 漏洞 ， 该 漏洞 影响 Windows 2000、Windows XP、Windows Server 2003 系统 。 


2003 年 7 月 16 日 ,微软 公司 公布 了 MS03-026 补丁 用 于 修补 该 漏洞 。 随后， 网 络 上 有 少 
数 的 恶意 攻击 者 利用 该 漏洞 进行 入 侵 。 


2003 年 8 月 11 日 ， 爆 发 了 利用 上 述 Windows 漏洞 的 “冲击 波 ”蠕虫 病毒 。 


2003 年 8 月 18 日 ,出现 了 一 个 利用 同样 原理 进行 草 延 的 “冲击 波 清除 者 ”病毒 ， 该 蠕虫 
专门 清除 原来 的 “冲击 波 ” 病 毒 , 但 是 该 病毒 同时 也 消耗 大 量 的 Internet 带宽 , 从 而 导致 Internet 
性 能 的 明显 下 降 。 

在 蠕虫 爆发 后 ， 全 球 Windows 用 户 开始 安装 MS03-026 补丁 修补 该 漏洞 ， 网 络 运营 商 开 
始 设 法 阻止 蠕虫 蔓延 ， 计 算 机 防 病毒 厂商 加 入 蠕虫 特征 进行 查 杀 。 


2004 年 1 月 ， 蠕 虫 传播 开始 明显 得 到 遏制 ， 微 软 公 司 估计 全 球 有 1 000 万 台 主机 受到 感 
染 。 从 整个 事件 开始 到 结束 ， 基 本 可 以 将 漏洞 生命 周期 划分 为 表 6-1 所 示 的 5 个 阶段 。 


表 6-1 漏洞 的 生命 周期 


第 1 阶段 ”系统 漏洞 被 发 现 ， ”由 于 软件 设计 者 初期 考虑 不 周 等 因素 导致 漏洞 客观 存在 ， 漏 洞 研究 人 员 
厂商 发 布 漏洞 公告 ” 发 现 漏洞 并 报告 相关 厂商 ， 厂 商 向 用 户 发 布 安全 公告 ， 并 提供 升级 补丁 
程序 
第 2 阶段 ”借助 漏洞 传播 的 病 。” 怀 有 恶意 的 攻击 者 对 安全 补丁 进行 逆向 工程 ， 编 写 利用 漏洞 的 攻击 程序 
毒 开始 出 现 并 传播 并 发 布 ， 由 于 用 户 在 漏洞 管理 方面 的 疏忽 ， 如 没有 第 一 时 间 安 装 升级 补 
丁 程序 ， 从 而 为 蠕虫 爆发 创造 了 条 件 ， 此 阶段 漏洞 的 危害 性 较 小 
第 3 阶段 ”利用 漏洞 的 蠕虫 病 ” 由 于 上 述 的 攻击 代码 和 蠕虫 程序 的 实现 已 经 相当 成 熟 ， 攻 击 代 码 很 容易 
毒 大 肆 爆 发 被 更 新 为 蠕虫 代码 。 蠕 虫 在 互联 网 上 或 者 局 域 风 中， 利用 系统 漏洞 大 规 
模 传播 ， 导 致 网 络 堵塞 或 者 瘫痪 
第 4 阶段 ”系统 漏洞 被 修复 ， 由 于 安装 系统 补丁 ， 里 虫 丧 失 感染 目标 ， 已 经 感染 的 主机 逐步 清除 使 里 
但 仍 有 发 作 虫 源 减少 。 没 有 安装 补丁 的 主机 数量 减少 ， 对 网 络 的 影响 不 大 
第 5 阶段 ”漏洞 影响 逐渐 消失 ”一 段 时 间 后 ， 由 于 系统 升级 或 者 完成 系统 补丁 的 安装 工作 ， 或 者 使 用 新 
的 软件 版 本 ， 漏 洞 造成 的 影响 逐步 消失 


6.1.3 漏洞 扫描 概述 


漏洞 扫描 是 网 络 安全 防御 中 的 一 项 重要 技术 ， 其 原理 是 采用 模拟 攻击 的 形式 对 目标 可 能 


存在 的 已 知 安全 漏洞 进行 逐 项 检查 。 检 查 的 目标 可 以 是 工作 站 、 服 务 器 、 交 换 机 和 数据 库 等 ， 
在 扫描 结束 后 ， 可 以 向 管理 员 提供 一 份 周密 可 靠 的 安全 性 评估 报告 ， 从 而 为 提高 网 络 安全 整 
体 水 平 提供 重要 依据 。 

在 网 络 安全 体系 的 建设 中 ， 单 机 安全 扫描 是 一 种 花费 低 、 效 果 好 、 见 效 快 、 与 网 络 运行 
相对 独立 、 安 装运 行 简单 的 工具 ， 可 以 大 规模 减少 网 络 管理 员 的 手工 操作 ， 有 利于 保持 全 网 
安全 的 统一 和 稳定 。 

目前 ， 市 场 上 存在 很 多 漏洞 扫描 工具 ， 根 据 不 同 的 技术 《基于 网 络 的 、 基 于 主机 的 、 基 
于 代理 的 、Client/Server)、 不 同 的 特征 、 不 同 的 报告 方式 ， 以 及 不 同 的 监听 模式 ,漏洞 扫描 工 
有 具 可 以 分 成 多 种 类 型 。 而 不 同 的 产品 之 间 ， 漏 洞 检测 的 准确 性 差别 较 大 ， 这 也 决定 了 在 生成 
报告 有 效 性 上 的 区 别 。 选 择 正 确 的 漏洞 扫描 工具 ， 对 于 提高 系统 的 安全 性 非常 重要 。 


一 般 情 况 下 ， 在 网 络 边界 处 都 会 部 署 硬件 或 软件 防火 墙 。 防 火 墙 作 为 不 同 网 络 或 网 络 安 
全 区 域 之 间 信 息 的 唯一 出 口 ， 能 根据 企业 的 安全 政策 控制 〈 允 许 、 拒 绝 、 检 测 ) 出 入 网 络 的 
信息 流 ， 且 本 身 具有 较 强 的 抗 攻击 能 力 。 虽 然 防火 墙 是 提供 信息 安全 服务 、 实 现 网 络 和 信息 
安全 的 基础 设施 ， 但 是 ， 它 本 身 也 存在 一 定 的 局 限 性 。 

一 般 局 域 网 都 具有 “外 紧 内 松 ” 的 特点 ， 一 道 严密 防守 的 防火 墙 的 内 部 网 络 也 有 可 能 防 
范 松懈 。 因 此 ， 进 行 漏洞 扫描 很 有 必要 。 


采用 漏洞 扫描 工具 是 保护 系统 安全 的 重要 一 步 。 当 决定 进行 漏洞 扫描 之 后 ， 接 下 来 就 是 
如 何 选择 满足 企业 需要 、 合 适 的 漏洞 扫描 软件 或 者 工具 。 

通常 ， 在 选择 漏洞 扫描 工具 时 ， 应 当 注 意 以 下 几 个 方面 的 问题 。 

口 漏洞 库 中 的 漏洞 数量 。 

口 扫描 工具 的 易 用 性 。 

口 是 否 可 以 产生 漏洞 报告 ， 包 括 内 容 是 否 全 面 、 是 否 可 配置 、 是 否 可 定制 、 报 告 的 格式 
和 输出 方式 等 。 

口 对 于 漏洞 修复 行为 的 分 析 和 建议 。 是 否 只 报告 存在 哪些 问题 、 是 否 会 告知 应 该 如 何 修 
补 这 些 漏洞 。 

口 安全 性 。 由 于 有 些 扫 描 工 具 不 仅仅 只 是 发 现 漏洞 ， 而 且 还 进一步 利用 这 些 漏洞 ， 扫 描 
工具 自身 是 否 会 带 来 安全 风险 。 

口 工具 或 软件 的 性 能 及 价格 。 


目前 ， 绝 大 部 分 的 网 络 攻击 都 是 借助 目标 网 络 的 漏洞 实现 的 。 网 络 中 常规 的 安全 设备 ， 
如 防火 墙 、 入 侵 检测 系统 (IDS)、 统 一 威胁 管理 〈UTM) 等 ， 很 难 阻止 这 种 恶意 攻击 。 要 从 
根本 上 解决 利用 漏洞 进行 攻击 的 问题 ， 就 需要 对 漏洞 产生 的 原因 、 漏 洞 的 生命 周期 进行 研究 ， 
同时 还 要 配合 人 为 的 管理 模式 ， 建 立行 之 有 效 的 管理 机 制 ， 并 通过 漏洞 管理 类 产品 来 辅助 管 
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系统 漏洞 修补 


理 员 执 行 漏洞 管理 。 


人 1 安全 策略 ) 

安全 策略 是 确保 服务 器 、 网 络 设备 、 客 户 端 计算 机 以 及 网 络 安全 设备 能 够 正常 工作 的 安 
全 配置 。 目 前 ， 大 部 分 网 络 设备 都 能 够 提供 丰富 的 安全 功能 ， 并 且 部 分 功能 已 经 默认 启用 ， 
用 户 可 以 根据 实际 需要 ， 制 定 更 加 详细 的 安全 策略 。 


(2. 漏洞 预警 站 


漏洞 预警 是 指 产 品 供应 商 在 发 现 漏洞 后 ， 第 一 时 间 告 知 用 户 所 采取 的 工作 。 漏 洞 供应 商 
通常 会 提供 相应 的 补丁 程序 ， 如 果 没 有 相应 的 补丁 程序 ， 应 给 出 临时 解决 方案 。 


(3. 漏洞 检 测 门 

在 进行 漏洞 检测 工作 之 前 需要 对 网 络 进行 发 现 和 跟踪 ， 以 便 快 速 、 准 确 地 确定 产生 漏洞 
的 计算 机 或 网 络 设备 。 作 为 网 络 管理 员 ， 必 须 周 期 性 地 对 网 络 中 的 网 络 资产 进行 检测 ， 要 求 
漏洞 管理 工具 在 保证 一 定 效率 的 前 提 下 ， 具 有 较 高 的 准确 性 。 


在 进行 漏洞 检测 时 ， 并 不 是 检测 到 的 漏洞 越 多 越 好 ， 更 重要 的 是 要 对 检测 出 漏洞 
的 有 效 性 进行 验证 和 分 析 。 


全 4 漏洞 统计 分 析 “] 
当 漏洞 检测 工作 完成 后 ， 需 要 网 络 管理 员 通 过 具体 的 报告 和 数据 对 资产 的 风险 进行 评估 
和 分 析 ， 清 晰 明了 地 显示 出 漏洞 分 布 状况 、 详 细 描 述 以 及 制定 相应 的 解决 方案 。 


网 络 管理 员 应 当 对 网 络 中 存在 的 资产 风险 进行 分 类 ， 以 便于 能 够 对 后 续 的 漏洞 修 
补 工作 进行 优先 级 区 分 。 这 一 过 程 也 可 以 通过 购买 专业 的 漏洞 管理 设备 或 者 安全 
服务 来 完成 。 


[5 5 漏洞 修补 站) 

通过 统计 分 析 的 结果 制定 切实 可 行 的 漏洞 修补 方案 ， 并 以 合理 的 方式 通知 用 户 ， 例 如 ， 
通过 自动 更 新 服务 器 来 提供 最 新 的 漏洞 修补 程序 ， 用 户 可 以 按 需 进行 下 载 安 装 ， 也 可 以 由 服 
务 器 自动 分 发 完成 。 

在 漏洞 修补 阶段 要 注意 补丁 程序 来 源 的 合法 性 ， 以 及 补丁 的 安全 性 。 通 常 ， 必 须 对 补丁 
程序 进行 小 范围 内 的 安全 性 和 兼容 性 测试 ， 在 确保 补丁 程序 不 会 影响 到 业务 系统 的 正常 运行 
之 后 ， 方 可 大 规模 分 发 及 安装 。 


6. 漏洞 审计 、 跟 踪 一 


在 网 络 中 ， 必 须 部 署 完善 的 漏洞 审核 机 制 ， 即 对 于 新 接 入 或 启用 的 计算 机 或 网 络 设备 ， 
应 该 进行 补丁 状态 检测 ， 如 果 不 能 满足 安全 要 求 ， 那 么 就 要 拒绝 其 继续 访问 网 络 ， 或 通过 其 
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他 措施 使 其 可 以 获得 所 需 的 安全 补丁 。 这 个 过 程 可 以 通过 操作 系统 厂商 、 第 三 方 的 补丁 管理 
软件 或 者 专业 的 安全 服务 来 完成 。 


一 个 完善 的 漏洞 管理 机 制 应 该 能 够 有 效 地 保证 人 为 的 管理 疏漏 不 会 被 攻击 者 利用 ， 这 对 
于 大 多 数 利用 漏洞 进行 的 攻击 会 十 分 有 效 。 

网 络 管理 人 员 在 制定 漏洞 管理 流程 的 时 候 ， 需 要 根据 实际 情况 进行 细 化 或 者 裁减 ， 以 确 
保 漏 洞 管理 的 高 效 、 灵 活 和 实用 。 另 外 ， 漏 洞 管理 流程 应 该 注意 以 下 问题 。 

口 工作 流程 标准 化 。 

口 尽量 实用 专业 的 、 自 动 化 的 漏洞 管理 工具 ， 尽 量 避 免 人 为 操作 。 

口 尽量 不 要 中 断 企业 的 业务 流程 ， 保 证 业务 能 够 正常 运行 。 

口 漏洞 修补 尽量 安排 在 晚上 或 者 业务 不 繁忙 的 时 间 段 进行 。 

口 在 测试 环境 中 模拟 测试 通过 ， 在 确保 不 影响 当前 业务 状态 的 情况 下 ， 实 施 漏洞 修补 工 

作 流程 。 
口 针对 不 同 的 操作 系统 要 准备 不 同 版 本 的 补丁 程序 。 


6.2 ”操作 实例 一 


3.2.] 揭 入 完全 一 一 MBSA 工具 


Microsoft Baseline Security Analyzer (MBSA) 工具 允许 用 户 扫描 一 台 或 多 台 基 于 Windows 
操作 系统 的 计算 机 ， 并 检查 操作 系统 和 已 安装 的 其 他 组 件 ， 以 发 现 安全 方面 的 配置 错误 ， 并 
及 时 通过 推荐 的 安全 更 新 进行 修补 。 


@ 1. 实例 目的 BD) 

口 扫描 系统 漏洞 和 安全 风险 。 

口 扫描 Windows 组 件 及 应 用 程序 。 
口 实现 系统 的 安全 更 新 与 配置 。 


@ 2. 实例 步骤 1) 

(1) 在 桌面 双击 Microsoft Baseline Security Analyzer 6.2 应 用 程序 图 标 ， 如 图 6-1 所 示 。 

(2) 在 软件 主 界面 中 ， 单 击 【扫描 一 个 电脑 】 按 钮 ， 如 图 6-2 所 示 。 

(3) 在 【选择 要 扫描 的 计算 机 】 对 话 框 中 ， 禁 用 【检查 IS 漏洞 】 和 【检查 SQL 漏洞 】 
复 选 框 ， 并 单 击 【 开 始 扫 描 】 按 钮 ， 如 图 6-3 所 示 。 


如 果 计算 机 安装 了 Web 服务 和 SQL Server 软件 ， 则 启用 【检查 IS 漏洞 〗 和 【 检 
查 SQL 漏洞 】〗】 复 选 框 。 


扫描 工具 友 黑 客 负 印 园 汉 化 版 
女 


NBS 党 软 安 全 漏洞 扫 接 工具 可 检查 运行 Micoscht Windowse@Sever 2003. WindowsXP. 
Windows 2000 或 Windows NTe40 等 拘 作 系统 的 实 全 人 性 .但 你 必须 有 管理 员 杭 限 ， 


计算 机 是 运行 以 下 操作 系统 系统 


DE 2 
查看 已 有 的 安全 报 各 


图 6-1 执行 应 用 程序 图 6-2 主 界面 


(4) 在 【查看 安全 性 报告 】 窗 口中 ， 国人 全 全 全 攻关 的 半生 全 全， 如 图 6-4 地 
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8.2.2 ”和 操 币 袍 例 


360 安全 卫士 具有 强大 的 模块 扫描 能 力 , 能 够 发 现 系统 深层 隐藏 漏洞 , 并 且 拥 有 完善 准确 
的 系统 补丁 数据 库 ， 保 证 系统 安全 可 靠 地 运行 。 


(dE 
口 发 现 系统 及 应 用 程序 漏洞 。 


口 修复 漏洞 。 
口 更 新 Windows 系统 补丁 。 


-RE 


(1) 在 桌面 上 双击 【360 安全 卫士 】 图 标 ， 如 图 6-5 所 示 。 


宁 访 330 安 含 卫 沁 


(2) 在 【360 安全 卫士 V6.1.5】 的 主 界面 窗口 中 ， 选 择 【 修 复 漏 洞 】 选 项 卡 ， 如 图 6-6 
所 示 。 
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360 休 术 家 铸 华 什么 了 
360 从 榨 千 对 个 的 电 用 系统 和 快速 一 得 扫描， 草木 马 病毒 、 示 二 泼 油 、 恶 评 
插件 等 问题 间 行 修复， 并 全 而 解 交 海 在 的 安全 风 隐 ， 提 高 你 的 电光 运行 过 襄 。 


诡 祥 高 


修改 体 术 设置 
主 程序 版 本 ; 5. 1.5. 1010 苗 用 木马 这 版 本 ; z010.3 15. 1 备用 木马 库 已 是 最 新 版 本 E 
图 6-5 执行 应 用 程序 图 6-6 主 界面 


(3) 当 该 软件 检测 系统 漏洞 结束 后 ， 在 【修复 漏洞 】 选 项 卡 内 ， 单 击 【 修 复 】 按 钮 ， 如 
图 6-7 所 示 。 

(4) 在 【修复 漏洞 】 选 项 卡 内 ， 可 查看 到 修复 结果 ， 并 单 击 【立即 重启 】 按 钮 ， 如 图 6-8 
所 示 。 
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图 6-7 【修复 漏洞 】 选 项 卡 6-8 查看 修复 结果 


殖 忆 河 河 扯 托 工具 


瑞星 卡 卡 上 网 助手 能 够 自动 修复 操作 系统 漏洞 、 第 三 方 软件 漏洞 和 相关 安全 设置 ， 使 计 
算 机 被 病毒 破坏 的 系统 设置 恢复 正常 。 


口 快速 扫描 系统 漏洞 和 安全 缺陷 。 
口 扫描 第 三 方 软件 更 新 。 
口 强力 修复 系统 及 应 用 软件 漏洞 。 


(1) 在 桌面 上 双击 【瑞星 卡 卡 上 网 安全 助手 】 图 标 ， 如 图 6-9 所 示 。 


(2) 在 【瑞星 卡 卡 上 网 安全 助手 】 主 界面 窗口 【常用 】 选 项 卡 内 ， 单 击 【 漏 洞 扫描 与 修 
复 】 图 标 ， 如 图 6-10 所 示 。 


图 6-9 执行 应 用 程序 


(3) 在 【系统 漏洞 】 选 项 卡 内 启用 需要 修复 选项 的 复 选 框 ， 并 单 击 【 修 复 所 选项 】 按 钮 ， 
如 图 6-11 所 示 。 


[= 有 


» wm 

这 出 3 术 归 站 寺 | 
ES 坦 杀 交行 杯 马 
@ 者 苞 则 ， 碍 邓 演 行 不 马 消 栖 ,保护 际 呈 全 天 全 

不 由 有 | 上 5 间 :oo os CE) 
| 雯 所 文件 清理 

往 理 系 里 的 护 柜 立 父 ， 红 高 系 妨 运行 效率 


上 站 全 用 上 时间 ; Zn10-09-)6 09 1 人- 立 印 局 由 


瑞星 亲 吉 软件 2010 新 而 31 < 元 限 : 
用 手机 赤 付 购 员 时 二 0 恬 显 建 亚 沙 地 大 到 
卡 下 上 了 杰作 芭 皇 6 2 正式 排 “于 司 站 "下 安全 


4 


4 


El < 


图 6-10 【瑞星 卡 卡 上 网 助手 】 主 界面 窗口 


(4) 在 【系统 漏洞 】 选 项 卡 内 可 查看 到 修复 结果 ， 如 图 6-12 所 示 。 
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图 6-11 系统 漏洞 选项 卡 
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图 6-12 修复 结果 窗口 


6.3 漏洞 预警 


漏洞 预警 工作 通常 由 产品 供应 商 完成 ， 也 就 是 说 确保 在 漏洞 发 现 后 ， 能 够 第 一 时 间 告 知 
用 户 ， 如 果 没 有 相应 的 补丁 程序 ， 还 应 给 出 临时 的 解决 方案 等 。 这 就 要 求 漏洞 管理 产品 的 厂 
商 应 该 有 基础 的 漏洞 研究 、 跟 踪 以 及 提供 临时 解决 方案 的 能 力 。 


6.3.1 中 文 速 递 邮件 服务 


中 文 速递 邮件 是 微软 中 文 帮助 以 及 支持 网 站 为 更 好 地 服务 于 中 国 客户 而 提供 的 一 种 免费 
服务 ， 该 邮件 一 月 一 刊 ， 自 动 发 送 到 用 户 指定 邮箱 ， 帮 助 用 户 及 时 了 解 最 新 微软 软件 的 热点 
问题 、 帮 助 指南 以 及 最 新 下 载 。 
通过 TechNet 中 文 速递 邮件 服务 ， 企 业 网 络 管理 人 员 能 够 了 解 到 当前 各 项 技术 信息 、 技 
术 资 源 、 故 障 与 疑难 诊断 、 安 全 性 信息 、 培 训 信息 等 ， 例 如 ， 免 费 的 TechNet 技术 讲座 、 网 络 
广播 、 虚 拟 实验 室 、 技 术 指 引 视频 等 。 
另外 ， 中 文 速递 邮件 中 包括 了 微软 最 新 安全 
公告 , 有 关 Microsoft 产品 和 所 有 有 价值 的 技术 信 NW wt Na lem 
息 , 以 及 Microsoft 提供 的 最 新 服务 包 和 知识 库 文 rosoft | TechNet hh wwe 
章 。 该 邮件 也 会 将 当前 重大 病毒 信息 在 第 一 时 间 。 sm re 
报道 给 客户 ， 并 提醒 客户 对 系统 做 安全 防护 。 人 
用 户 需要 注册 订阅 TechNet 中 文 速递 邮件 ，。 saoe 区 开光 更 
在 订阅 后 才 可 以 收 到 安全 公告 、TechNet 活动 信 。 入 weave 
息 、 技 术 资源 库 、 热 门 知识 库 文章 、 最 新 服务 包 、 ia 
TechNet 网 络 广播 、 下 载 及 测试 版 软件 等 重要 资 
讯 和 技术 内 容 。 用 户 在 注册 成 功 后 ， 或 者 是 已 经 。 鸭 ems 
收 到 TechNet 中 文 速递 邮件 ， 还 可 以 根据 个 人 需 。 3 信和 T 
求 及 技术 爱好 ， 订 制 自己 的 TechNet 中 文 速递 邮 
件 ， 获 取 对 自己 最 重要 的 资讯 ， 图 6-13 所 示 为 图 6-13 ”TechNet 中 文 速递 邮件 
2010 年 第 5 期 的 TechNet 中 文 速递 邮件 。 


6.3.2 ”安全 公告 网 络 广播 


目前 ， 企 业 及 其 他 各 行 各 业 对 于 网 络 的 依赖 性 越 来 越 强 ， 而 网 络 中 存在 的 各 种 安全 性 风 
险 ， 已 经 严重 威胁 了 企业 内 部 数据 的 安全 。 那 么 ， 除 了 硬件 安全 性 的 构建 外 ， 作 为 网 络 中 经 
常 变化 的 ， 汇 聚 大 部 分 企业 信息 的 主机 及 相关 节点 的 安全 性 ， 就 成 为 每 个 管理 员 必 须 面 对 的 
问题 。 毫 无 疑问 ， 无 论 哪 种 操作 系统 都 不 能 够 保证 完全 没有 漏洞 ， 但 问题 的 关键 是 如 何 及 时 
发 现 漏洞 并 对 其 进行 修复 。 

微软 安全 响应 中 心 (Microsoft Security Response Center，MSRC) 就 是 微软 内 部 一 个 这 样 


的 机 构 ， 由 它 自主 研发 并 接受 来 自 第 三 方 安全 公司 及 客户 的 反馈 ， 在 确认 问题 后 ， 于 美国 时 
间 每 个 月 的 第 2 个 星期 二 发 布 相应 的 补丁 及 应 对 方案 。 相 应 地 ， 微 软 中 国 随后 也 会 在 北京 时 
间 每 个 月 的 第 2 个 星期 三 执行 同步 发 布 , 并 在 星期 五 发 布 中 国 区 安全 公告 网 络 广播 (Webcast)。 
安全 公告 网 络 广播 通常 由 微软 讲师 来 指导 用 户 理解 微软 最 新 的 安全 公告 ， 并 讲解 如 何 针 
对 该 安全 性 公告 ， 在 企业 内 部 进行 安全 性 修复 。 同 时 ， 也 会 提 到 安全 指导 建议 ， 这 将 会 指导 
用 户 面 对 企业 环境 ， 如 果 不 能 及 时 安装 补丁 ， 如 何 采取 一 个 紧急 应 对 措施 ， 以 避免 企业 数据 
遭 到 破坏 ， 为 随后 执行 的 安全 性 修复 赢得 时 间 。 
安全 公告 网 络 广播 《Webcast) 也 会 覆盖 当 
月 的 微软 产品 更 新 ， 工 具 更 新 及 相关 信息 。 企 ee 
业 管 理 员 都 会 在 自己 的 管理 经 历 中 ， 意 识 到 一 TechCerters «Cownloads | TechNet Program | Subscriptons | Security Bulletins 
个 问题 ， 那 就 是 微软 发 布 的 安全 性 修复 往往 同 rset Saou Bundt Sneed nl Nabe 
企业 内 部 复杂 的 应 用 环境 存在 差距 ， 那 么 如 何 ms wooe 
在 保障 生产 环境 正常 运作 的 前 提 下 ， 应 用 这 些 所 
安全 性 修复 ， 就 需要 企业 管理 员 对 于 安全 性 修 i 
复 有 足够 的 认识 ， 并 结合 实际 环境 予以 测试 。)， 2 So snc Sm nace 
这 就 需要 关注 安全 公告 网 络 广播 ， 图 6-14 所 示 。 :most aaaane 
为 所 有 Microsoft 安全 公告 摘要 和 网 络 广播 。 + 200t securio uletn Simares and Webessts 
安全 公告 网 络 广播 的 主要 目的 是 给 广大 用 
户 提供 一 个 可 以 向 微软 安全 专家 咨询 有 关 微 软 
安全 公告 和 补丁 管理 相关 信息 的 机 会 ， 同 时 微 
软 安全 专家 也 会 在 广播 中 为 用 户 解 答 在 日 常 工作 中 碰 到 的 相关 问题 。 
通常 用 户 需要 在 微软 官方 网 站 在 线 注册 申请 收听 当月 的 安全 公告 网 络 广 播 ， 这 些 安全 公 
告 网 络 广播 将 以 点 播 的 方式 为 用 户 提供 。 在 此 日 期 之 后 ， 该 网 络 广播 将 按 需 为 用 户 提供 。 


ms 


id 


图 6-14 ”Microsoft 安全 公告 摘要 和 网 络 广播 


6.4 漏洞 更 新 


系统 不 完善 就 会 出 现 漏洞 ， 在 网 络 中 更 是 如 此 ， 漏洞 验证 威胁 计算 机 及 整个 网 络 的 安全 ， 
因此 ， 在 发 现 漏洞 以 后 及 时 安装 由 计算 机 软件 、 硬 件 供应 商 提供 的 补丁 程序 对 系统 安全 是 很 
重要 的 。 


6.4.1 WSUS 概述 


WSUS (Windows Software Update Service) 是 微软 公司 推出 的 免费 网 络 化 补丁 分 发 方案 ， 
可 以 从 微软 网 站 中 下 载 获 得 并 安装 。WSUS 支持 微软 公司 全 部 产品 更 新 ， 使 网 络 管理 员 能 够 
将 最 新 的 Microsoft 产品 更 新 部 署 到 客户 端 计算 机 上 。 

通常 , 家庭 或 中 小 型 用 户 都 是 直接 从 Microsoft Update 服务 器 下 载 所 需 更 新 程序 进行 安装 。 
但 是 ， 对 于 大 型 网 络 ， 如 果 仍 然 采 用 这 种 方式 ， 那 么 每 天 仅 此 一 项 网 络 流量 就 可 能 占 去 一 大 
部 分 。 而 通过 WSUS 这 个 内 部 网 络 中 的 Windows 升级 服务 , 就 可 以 让 所 有 的 Windows 更 新 都 


集中 下 载 到 内 部 网 的 WSUS 服务 器 中 , 使 网 络 中 的 
客户 机 通过 WSUS 服务 器 得 到 更 新 。 这 不 仅 节省 了 
网 络 资源 ， 避 免 了 网 络 流量 的 浪费 ， 而 且 提 高 了 内 
部 网 络 中 计算 机 的 更 新 效率 , 图 6-15 所 示 为 WSUS 
体系 结构 示意 图 。 

如 果 企 业 网 络 规模 比较 大 ， 还 可 以 采用 多 级 
WSUS 结构 ,如 图 6-16 所 示 。 其 中 ,“ 上 游 ”WSUS 
升级 服务 器 负责 从 Microsoft Update 站 点 下 载 升级 
补丁 并 管理 “下 游 ” 的 WSUS 升级 服务 器 ， 而 “下 
游 ”的 WSUS 升级 服务 器 从 “上 游 ” 的 WSUS 升 


Microsoft Update 服 务 器 
企业 内 部 WSUS 服 务 器 [le 


级 服务 器 获得 补丁 ， 并 为 企业 网 络 中 的 工作 站 提供 工作 站 工作 站 工作 站 
升级 补丁 。 所 有 的 工作 站 被 划分 到 不 同 的 “下 游 ” 

WSUS 升级 服务 器 中 并 且 从 其 设置 的 “下 游 ”"WSUS 图 6-15 WSUS 体系 结构 

升级 服务 器 处 获得 补丁 。 


工作 站 工作 站 工作 站 工作 站 


6-16 多 级 WSUS 体系 结构 


WSUS 是 一 款 服务 器 /客户 端 模式 的 软件 ， 应 用 之 前 应 先 正确 配置 服务 器 端 。 安 装 WSUS 
服务 器 时 ， 必 须 使 用 具有 本 地 管理 员 权 限 的 用 户 账户 登录 系统 。 


在 Windows Server 2008 中 ， 可 安装 的 WSUS 3.0 SP2 程序 ， 对 操作 系统 版 本 、 操 作 系统 
上 运行 的 服务 、IS、 数 据 库 、 磁 盘 分 区 格式 以 及 硬盘 可 用 空间 都 有 一 定 的 要 求 。 这 包括 如 下 
几 个 方面 。 
口 WSUS 服 务 器 系统 平台 可 以 是 Windows Server 2003 SP1/SP2、 Windows Server 2003 R2、 
Windows Server 2008 SP1 或 Windows Server 2008 R2 


口 目标 服务 器 不 能 安装 “终端 服务 ”， 如 果 确 认 需 要 使 用 “终端 服务 ”对 计算 机 进行 管理 ， 
则 可 以 在 安装 WSUS 之 前 临时 将 其 删除 ， 或 在 安装 WSUS 以 后 再 安装 “终端 服务 ” 
即 可 。 

口 需要 IIS 6.0/7.0 的 支持 。 

口 WSUS 根 服务 器 必须 可 以 连接 到 Intemet， 如 果 使 用 代理 服务 器 连接 Intemet， 则 代理 
服务 器 必须 支持 HTTP 或 者 HITPS 方式 。 

口 安装 WSUS 时 ， 需 要 退出 正在 运行 的 反 病 毒 软件 和 一 切 防火 墙 软件 。 

口 如 果 在 网 络 中 配置 需要 协同 工作 的 多 台 WSUS 服务 器 ， 那 么 需要 安装 专用 的 SQL 
Server 2005/2008 数据 库 ， 安 装 程序 默认 安装 的 数据 库 (WMSDE ) 只 能 用 于 独立 的 
WSUS 服务 器 。 

口 如 果 安 装 WSUS 服务 器 操作 系统 为 Windows Server 2008,， 则 满足 系统 需求 即 可 ， 如 果 
是 Windows Server 2003 ,那么 除 满足 系统 运行 需求 外 ,还 必须 确保 内 存 不 低 于 512MB。 


WSUS 3.0 SP2 在 功能 上 虽然 有 了 明显 提升 , 但 在 硬件 需求 方面 变化 不 大 。 在 企业 网 络 中 ， 
如 果 客 户 端 计算 机 数量 不 大 于 500 台 ，WSUS 服务 器 的 主要 硬件 配置 信息 如 下 所 示 。 
口 至 少 为 1GB 内 存 。 
口 处 理 器 至 少 为 1GHZ 或 更 高 。 
口 磁盘 空间 根据 所 选 数据 库 的 不 同 而 有 所 区 别 ， 建 议 保留 30GB 的 自由 空间 用 于 存储 下 
载 数据 和 数据 库 信 息 。 
口 确保 WSUS 服务 器 到 Intemet 以 及 和 客户 端 之 间 的 网 络 连接 正常 。 


在 即将 安装 WSUS 的 计算 机 中 ， 安 装 Windows Server 2008 操作 系统 以 及 各 种 驱动 程序 ， 
配置 网 卡 的 了 P 地 址 、 子 网 掩 码 、 网 关 及 DNS 参数 ， 使 其 可 以 连接 到 Intemet， 如 果 通 过 代理 
服务 器 连接 Intemet， 应 指定 正确 的 代理 服务 器 信息 和 有 效 的 身份 凭证 。 

另外 ， 在 安装 WSUS 之 前 ， 还 应 该 做 好 如 下 准备 工作 。 

口 安装 IIS 服务 。 

口 后 台 智 能 传输 服务 (BITS ) 2.0。 

口 Report Viewer ( 可 选 组件 ， 但 建议 安装 )。 


在 安装 IIS 过 程 中 ， 应 确保 启用 【应 用 程序 开发 〗 列 表 中 的 ASPNET 复 选 框 ， 否 
则 将 无 法 完成 WSUS 的 安装 。 


6.4.2 配置 WSUS 


在 Windows Server 2008 中 ， 当 用 户 从 微软 网 站 下 载 WSUS 3.0 SP2 安装 程序 安装 结束 时 ， 
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还 需要 对 WSUS 服务 器 进行 配置 ， 才 可 以 使 WSUS 服务 器 开始 工作 ， 这 包括 设置 服务 器 接 入 
Intermet 方式 、 获 取 更 新 方式 、 支 持 产品 分 类 、 同 步 方 式 及 时 间 等 内 容 。 

当 安 装 结束 后 ， 在 弹出 的 【在 您 开始 之 前 】 对 话 框 中 ， 直 接 单 击 【 下 一 步 】 按 钮 ， 接 着 ， 
在 【加 入 Microsoft Update 改善 计划 】 对 话 框 中 ， 启 用 【是 的 ， 我 希望 加 入 Microsoft Update 
改善 计划 】 复 选 框 ， 并 单 击 【 下 一 步 】 按 钮 ， 如 图 6-17 所 示 。 

在 【选择 “上游 服务 器 ”】 对 话 框 中 ， 系 统 默 认 选中 【从 Microsoft Update 进行 同步 】 单 
选 按钮 ， 即 直接 从 微软 服务 器 获取 更 新 程序 。 如 果 网 络 中 已 经 存在 “上 游 WSUS 服务 器 ” 则 
可 以 选中 【从 其 他 Windows Server Update Services 服务 器 进行 同步 】 单 选 按 钮 ， 并 在 【服务 
器 名 】 文 本 框 中 ， 输 入 上 游 WSUS 服务 器 的 他 地 址 或 计算 机 名 ， 在 【端口 号 】 文 本 框 中 ， 输 
入 上 游 WSUS 服务 器 的 端口 号 即 可 ， 如 图 6-18 所 示 。 
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《上 -上 9 IETSEWSI ar | ma | < 上 -去 gj | 下 -上 四 im | | 


图 6-17 加 入 Microsoft Update 改善 计划 图 6-18 选择 上 游 服务 器 


选择 本 地 网 络 的 上 游 WSUS 服务 器 时 , 如 果 使 用 的 上 游 服务 器 使 用 了 SSL 通信 方 
式 ， 则 在 此 处 应 当 启用 【在 同步 更 新 信息 时 使 用 SSL】〗 复 选 框 。 但 是 ， 部 署 SSL 
会 增加 WSUS 服务 器 大 约 10% 左 右 的 工作 负荷 , 并 且 这 种 传输 加 密 机 制 仅 能 用 于 
WSUS 数据 通信 ， 而 并 非 是 所 有 需要 传输 的 更 新 文件 。 


在 【指定 代理 服务 器 】 对 话 框 中 ， 如 果 使 用 代理 服务 器 与 Intemet 连接 ， 以 便于 Microsoft 
Update 进行 同步 更 新 ， 则 可 启用 【在 同步 时 使 用 代理 服务 器 】 复 选 框 ， 并 在 【用 户 名 小 【 域 】 
和 【密码 】 文 本 框 中 输入 相应 的 用 户 凭 证， 反之 ， 则 直接 单 击 【 下 一 步 】 按 钮 ， 如 图 6-19 
所 示 。 

在 【连接 到 上 游 服 务 器 】 对 话 框 中 ， 单 击 【 开 始 连 接 】 按 钮 ， 如 图 6-20 所 示 ， 以 便 在 服 
务 器 上 配置 Windows Server Update Services， 当 连接 完成 后 ， 直 接 单 击 【 下 一 步 】 按 钮 。 

在 【选择 “语言 "】 对 话 框 中 , 选择 此 服务 器 将 下 载 的 更 新 语言 , 此 时 , 可 以 选中 Download 
updates only in these languages 单 选 按钮 ， 并 启用 该 列表 中 相应 的 复 选 框 即 可 , 如 图 6-21 所 示 。 

在 【选择 “产品 ”】 对 话 框 中 ， 可 以 指定 需要 更 新 的 产品 ， 如 启用 【所 有 产品 】 复 选 框 ， 
则 Microsoft 公司 的 所 有 产品 的 更 新 都 将 被 下 载 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 6-22 所 示 。 
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图 6-19 指定 代理 服务 器 
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图 6-20 连接 上 游 服 务 器 
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图 6-21 ”选择 下 载 的 更 新 语言 图 6-22 选择 更 新 的 产品 


在 【选择 “分 类 ”】 对 话 框 中 ， 可 以 指 % 
同步 的 更 新 分 类 ， 如 在 此 启 上 
框 ， 并 单 击 【下 一 步 】 按 钮 ， 


选 按钮 , 并 将 同步 时 间 选 择 在 网 络 空 
内 ， 和 避免 影响 其 他 网 络 应 用 。 
步 】 按 钮 ， 如 图 6-24 所 示 。 


在 【完成 】 对话 框 中 , 默认 已 经 启用 【启动 
理 控制 台 】 和 
【开始 初始 同步 】 复 选 框 ， 此 时 ， 单 击 【 下 一 步 】 


Windows Server Update Services 管 


按钮 即 可 ， 如 图 6-25 所 示 。 


在 【后 续 步 又】 对 话 框 中 ， 用 户 可 以 查看 到 


将 WSUS 服务 器 集成 到 环境 中 的 后 续 步 又， 


定 要 
【所 有 分 类 】 复 选 
如 图 6-23 所 示 。 
在 【设置 同步 计划 】 对 话 框 中 , 可 以 选中 【 手 
动 同步 】 单 选 按钮 ， 也 可 以 选中 【自动 同步 】 单 
: 间 的 时 间 段 
然后 ， 单 击 【下 一 


过 笠 要 下 老 的 下 新 轨 类 


在 你 开始 之 前 可 以 机 
eresoft Wedate -二 | 
选择 务 问 " 
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< 上 $0) |[ 下 


选择 分 类 


图 6-23 


这 些 后 续 步 骤 是 可 选 的 ， 管 


理 员 可 以 根据 需要 有 
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选择 性 地 进行 配置 。 此 时 ， 可 以 直接 单 击 【 完 成 】 按 钮 即 可 ， 如 图 6-26 所 示 。 


WSUS 对 客户 端的 管理 都 是 通过 分 组 的 方式 进行 的 ， 分 组 标准 非常 灵活 ， 可 以 根据 所 需 


的 更 新 类 型 划分 ， 也 可 以 根据 所 需 部 门 进行 划分 ， 也 可 删除 多 余 分 组 。 在 默认 情况 下 ， 所 有 
WSUS 客户 端 都 将 存储 在 “未 分 配 的 计算 机 ”分 组 中 ,管理 员 可 以 根据 需要 将 其 迁移 或 复 币 
到 其 他 分 组 。 
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图 6-24 设置 同步 计划 图 6-25 【完成 】 对 话 框 


在 正确 配置 WSUS 客户 端 后 ， 服 务 器 将 自动 发 现 这 些 客 户 机 ， 并 显示 
机 】 列 表 中 ， 如 图 6-27 所 示 。 如 果 没 有 立即 显示 ， 可 以 按 FS 键 ， 或 者 单 
看 】 按 钮 ， 执 行 【 刷 新 】 命 令 ， 尝 试 刷新 一 下 服务 器 。 
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图 6-26 配置 完成 图 6-27 Update Service 窗口 


6.4.3 ”配置 WSUS 客户 端 


凡是 具备 自动 更 新 功能 的 Windows 操作 系统 ， 都 可 以 配置 为 WSUS 客户 端 。 根据 计算 机 
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所 在 网 络 环境 采取 不 同 的 配置 方法 。 在 域 环境 中 ， 可 以 使 用 组 策略 对 象 (GPO) 完成 ; 在 工 
作 组 环境 中 ， 可 以 使 用 本 地 组 策略 对 象 或 者 直接 修改 注册 表 完 成 。 

如 果 通 过 组 策略 为 Active Directory 网 络 中 的 计算 机 指定 WSUS 升级 服务 器 地 址 ， 需 要 在 
包括 网 络 中 所 有 计算 机 的 “组 织 单元 ”或 其 上 一 级 “组 织 单元 ”中 配置 组 策略 ， 或 者 将 需要 
更 新 的 计算 机 移动 到 一 个 新 创建 的 “组 织 单元 ”中 ， 然 后 再 对 该 组 中 的 所 有 计算 机 进行 操作 。 

在 此 ， 将 所 有 的 计算 机 添加 到 指定 的 组 织 单位 (test) 中 ， 然 后， 执行 【开始 】|【 管 理工 (177) 
具 】|【 组 策略 管理 】 命令， 在 打开 的 窗口 中 ,依次 展开 【 林 】|【 域 】|slkj.com 节点 ， 右 击 test 
选项 ， 并 执行 【在 这 个 域 中 创建 GPO 并 在 此 处 链接 】 命 令 ， 如 图 6-28 所 示 。 

在 【新 建 GPO】 对话 框 的 【名 称 】 文 本 框 中 ， 输 入 一 个 便于 识别 的 名 称 ， 并 单 击 【 确 定 】 
按钮 ， 如 图 6-29 所 示 。 


基文 件 史 ， 捐 作 ) 宣 看 0 再 口 0) 导 肋 00 | za 于 


和 路 | 放 吕 | 口 | 器 加 | 回避 | 

rd Slkj. con 

日 入 林 : a om 

9 ET 桂 村 外 筑 本 对象 组 第 咯 续 承 | 委派 | 
日 询 um， E79] 


| 


图 6-28 【组 策略 管理 】 窗 口 图 6-29 输入 名 称 
右 击 新 建 的 GPO 并 执行 【编辑 】 命 令 ， 在 打开 的 【组 策略 管理 编辑 器 】 窗 口中 ， 依 次 展 
开 【 计 算 机 配置 】|【 策 略 】|【 管 理 模板 】|【Windows 组 件 】 节 点 ， 选 择 Windows Update 选 
项 ， 在 右 侧 窗 格 中 ， 双 击 【 配 置 自动 更 新 】 选 项 ， 如 图 6-30 所 示 。 
接着 ,在 弹出 的 【配置 自动 更 新 属性 】 对 话 框 中 ， 选 中 【已 启用 】 单 选 按 钮 ， 然 后 ， 在 
【配置 自动 更 新 】 右 侧 下 拉 列 表 中 选择 对 应 的 自动 更 新 类 型 ， 及 根据 需要 还 可 以 设置 计划 安装 
日 期 和 时 间 ， 图 6-31 所 示 为 默认 设置 。 
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EE 
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图 6-30 【组 策略 管理 编辑 器 】 窗 口 图 6-31 启用 自动 更 新 
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单 击 【 下 一 个 设置 】 按 钮 ， 在 【指定 Intranet 
Microsoft 更 新 服务 位 置 属性 】 对 话 框 中 , 选中 【已 
启用 】 单 选 按钮 ， 并 在 【设置 检测 到 更 新 的 Intranet Ee eee we RH 
更 新 服务 】 和 【设置 Intranet 统计 服务 器 】( 用 于 获 人 
取 客 户 端的 状态 和 需求 信息 ) 文本 框 中 输入 相应 内 RE 
容 , 如 图 6-32 所 示 。 然后 , 依次 单 击 【 应 用 】 和 【 确 
定 】 按 钮 。 

由 于 组 策略 的 刷新 和 应 用 需要 一 定 的 时 间 ， 所 
有 保持 编辑 结果 后 即使 客户 端 重新 登录 到 域 控制 器 下 
也 可 能 无 法 立即 联系 到 WSUS 服务 器 。 而 在 默认 情 
况 下 ， 每 隔 90min 计算 机 组 策略 便 会 在 后 台 刷 新 一 | 
次 , 刷新 的 时 间 可 能 随机 偏 移 0 一 30min， 客 户 端 计 
算 机 在 域 控制 器 刷新 组 策略 20min 后 才 可 以 应 用 到 
组 策略 。 


全 加: http://Intranetlp dl) 


图 6-32 ”指定 Intranet Microsof 更 新 服务 器 


3.4.4 问 管 心得 一 一 湖 洞 修 外 方 车 


大 多 数 蠕虫 病毒 都 是 通过 系统 漏洞 进行 传播 的 , 同时 网 络 扫描 和 利用 系统 漏洞 , 也 是 “ 黑 
客 ”最 常用 的 攻击 手段 之 一 。 因 此 ， 为 保护 网 络 的 安全 性 ， 必 须 做 好 漏洞 补丁 的 安装 管理 
工作 。 

对 于 普通 用 户 来 讲 ， 系 统 漏洞 修补 主要 是 安装 官方 网 站 公布 的 补丁 程序 ， 但 是 对 于 服务 
器 或 者 是 网 络 中 大 规模 的 补丁 部 署 ， 通 常 是 一 项 非常 重要 的 工作 。 在 安装 补丁 程序 之 前 ， 必 
须 先 在 实验 环境 中 进行 测试 和 分 析 ， 然 后 才 可 以 在 网 络 中 大 规模 部 署 。 


C 1. 环境 分 析 国 

用 户 只 有 在 真正 了 解 网 络 的 内 部 状况 后 ， 才 能 够 有 效 地 实施 漏洞 修补 。 例 如 ， 及 时 掌握 
网 络 资产 情况 、 设 备 运行 状况 ， 包 括 网 络 运行 的 设备 型 号 、 厂 商 、 操 作 系统 的 种 类 及 版 本 等 。 
另外 ， 还 要 了 解 企 业 的 主要 业务 系统 及 其 重要 数据 ， 根 据 需要 划分 安全 等 级 ， 以 确定 补丁 的 
紧急 程度 和 修补 时 间 。 


2. 补丁 分 析 站 

用 户 的 计算 机 系统 信息 、 硬 件 等 设备 的 变化 ， 都 可 能 导致 无 法 正确 安装 官方 发 布 的 系统 
漏洞 补丁 ， 甚 至 在 安装 后 导致 一 系列 其 他 问题 。 因 此 ， 部 署 之 前 一 定 要 针对 用 户 系统 环境 进 
行 测试 ， 切 不 可 盲目 地 安装 补丁 ， 否 则 将 带 来 许多 意 想不到 的 问题 ， 包 括 如 下 几 个 方面 。 

口 导致 系统 兼容 性 出 现 问题 ， 甚 至 不 能 使 用 。 

口 系统 崩溃 ， 无 法 正常 工作 。 

口 系统 部 分 功能 无 法 使 用 。 

在 得 到 补丁 之 后 ， 正 确 的 做 法 如 下 所 述 。 

口 在 测试 环境 中 ， 测 试 对 业务 系统 的 影响 以 及 兼容 性 。 


第 意 


系统 漏洞 修补 


口 了 解 补丁 自身 的 稳定 性 。 

口 查看 补丁 是 否 还 存在 其 他 漏洞 。 

口 在 大 规模 部 署 之 前 ， 进 行 小 范围 的 短 时 间 的 联机 测试 。 在 测试 过 程 中 ， 应 做 好 详细 的 
测试 记录 ， 了 解 补 丁 程 序 和 其 他 相关 组 件 对 象 之 间 的 兼容 性 , 对 原 有 系统 功能 的 影响 ， 
是 否 可 以 孝 载 ， 是 否 可 以 “ 回 滚 ”等 。 


@ 3. 分 发 安装 站) 

对 于 网 络 用 户 而 言 ， 管 理 员 可 以 通过 组 策略 、Windows Server Update Services (WSUS) 
等 多 种 方法 ， 将 已 获得 的 系统 补丁 分 发 到 客户 端 。 其 中 ，WSUS 为 微软 公司 提供 的 专用 于 补 
丁 更 新 的 服务 组 件 ， 可 以 根据 客户 端的 实际 情况 ， 自 动 将 补丁 程序 分 发 到 用 户 的 计算 机 中 。 
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6.5 操作 实例 二 


3.3.1 移 作 名 风 一 注油 吕 入 区 网 工具 


X-Scan 采用 多 线程 方式 对 指定 人 P 地 址 进行 安全 漏洞 检测 ， 能 够 针对 已 知 漏洞 , 给 出 相应 
的 漏洞 报告 和 准确 的 解决 方案 。 


@ 1. 实例 目的 导 
口 发 现 系 统 漏洞 。 

口 扫描 系统 开放 服务 。 
口 扫描 系统 弱 口 令 。 


@ 2. 实例 步骤 门 
(1) 在 X-Scan 文件 夹 目 录 下 ， 双 击 X-Scan_gui.exe 应 用 程序 图 标 ， 如 图 6-33 所 示 。 
(2) 在 该 软件 主 界面 中 ， 单 击 【 设 置 】 菜 单 ， 并 执行 【扫描 参数 】 命 令 ， 如 图 6-34 所 示 。 


器 回 凤 


文件 因 。” 纺 缠 中 下 看 WD 收藏 h) 工具 GD) 才 


3 
) 玉 案 此 > 文 闪 
4 © ’ 从 兰 通 入 息 | 泥潭 息 | 钳 总 信息 | 


地 直 加 | 固 c Daements aad Settings\yli 帮 面 -Scan 
EE 


js 合十 说明 


| Fe: caove /21TF/2n0 
到 上 可 二 于 findyws 而 芝 习 吻 作 条 统 ， 持 荐 运行 于 Yinioer 折 Wiows 划 经 ， 


6-33 ”X-Scan 文件 夹 目录 图 6-34 设置 扫描 参数 
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(3) 在 弹出 的 【扫描 参数 】 窗 口 的 右 侧 【指定 外 范围] 文本 框 内 , 输入 他 地 址 (如 “192. 
168.0.2”)， 如 图 6-35 所 示 。 

(4) 在 【扫描 参数 】 窗 口中 ， 展 开 【 全 局 设置 】 节 点 ， 并 选择 【扫描 模块 】 选 项 ， 然 后 
启用 相关 扫描 项 ， 如 图 6-36 所 示 。 


图 6-35 输入 扫描 他 范围 图 6-36 ”启用 扫描 项 


(5) 选 择 该 菜单 F【 并 发 扫描 选项 , 输入 最 大 并 发 主机 数量 (10), 最 大 并 发 线程 数 (100)， 
如 图 6-37 所 示 。 

(6) 选择 该 菜单 FT〖 扫 描 报告 ] 选 项, 在 【报告 文件 ] 文 本 框 中 输入 文件 名 , 如 “text.html”， 
启用 【扫描 完成 自动 生成 并 显示 报告 】 复 选 框 ， 如 图 6-38 所 示 。 


的 扫 拓 守成 后 自动 生成 并 星 示 报 省 


图 6-37 并 发 扫描 采用 默认 设置 图 6-38 文件 类 型 为 HTML 


(7) 选择 该 菜单 下 【其 他 设置 】 选 项 ， 启 用 【 跳 过 没有 检测 到 开放 端口 的 主机 】 和 【使 
用 NMAP 判断 远程 操作 系统 】 复 选 框 ， 并 单 击 【 确 定 】 按 钮 ， 如 图 6-39 所 示 。 

(8) 在 X-Scanv3.3 GUI 窗口 的 工具 栏 中 ， 单 击 【 启 动 】 按 钮 ， 如 图 6-40 所 示 。 

(9) 当 扫 描 完成 时 ， 查 看 扫描 报告 如 图 6-41 所 示 。 


图 6-39 【扫描 参数 】 窗 口 


文件 四 广 时 单 击 | ID Eeee 三 四 
@ 国 | 国 澡 | 回 

普通 信息 | 漏洞 六 息 | 错误 信息 | 92.168.0.2 |microsolt-ds (445/trp) 
Scanrvs 3 使 用 说明 


| 大 可 要 求 :Vindows IT/e000/ 节 /2003 
理论 上 可 运行 于 findws IT 系列 换 作 系 绵 ， 推荐 运行 于 Wintows 24ows 系 统 ， 


miacrcftde 服务 可 能 运行 于 说 负 口 


NEssus Jp ;10230 
开放 服务 


epnap 对 名 可 能 运 石 于 iD， 


NEssus ID :10330 


6-40 XX-Scan v3.3 GUI 窗口 图 6-41 查看 扫描 结果 


3.5.2 擅 和 有 完全 一 渭河 评 往 知 简 工 姑 农 护 
漏洞 扫描 工具 通过 对 系统 进行 动态 的 试探 和 扫描 ， 发 现 系统 潜在 的 弱点 、 不 合理 配置 等 
问题 ， 根 据 漏洞 扫描 结果 提供 的 线索 ， 建 议 采取 相应 的 补救 措施 或 自动 填补 某 些 漏洞 。 


ma 


口 接受 软件 协议 。 
口 设置 安装 路 径 。 


CE 


(1) 在 桌面 双击 Setup Fluxay5.exe 程序 图 标 ， 如 图 6-42 所 示 。 
(2) 在 弹出 的 【许可 证 协议 】 窗 口中 ， 单 击 【我 接受 】 按 钮 ， 如 图 6-43 所 示 。 
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许可 证 协议 
在 安装 “loxsy"” 之 前 ,请 癌 读 授权 协议 。 


按 [Penn] 阅 过 “授权 协议 ”的 其 余部 分 ， 


ont any express or inplied 
be held liable for any danages 


i on 
Co] 


6-42 ”执行 应 用 程序 图 6-43 【许可 证 协议 】 窗 口 


(3) 在 【选择 组 件 】 窗 口中 ， 单 击 【下 一 步 】 按 钮 ， 如 图 6-44 所 示 。 
(4) 在 【选择 安装 位 置 】 窗 口中 ， 单 击 【 浏 览 】 按 钮 ， 如 图 6-45 所 示 。 


选择 组 件 选择 安装 位 置 


过 择 作 想 要 安装 “Fluxey” 的 好 此 功能 ， 过 择 “ 了 lay" 的 安 六 文 件 夹 ， 
各 下 本 要 本 件 ， 并 了 志和 下 贡生 的 外 件 。 单 [T 一 0D] 引 并 
志 定 实 琶 的 相 件 反 坟 因 
ET 
Rs: 18 sp 
-SS (RW ] < 上 一 步 @ | 全 二 步 如 3] [取消 
图 6-44 【选择 组 件 】 窗 口 图 6-45 【选择 安装 位 置 】 窗 口 


(5) 在 弹出 的 【浏览 文件 夹 】 对 话 框 中 ， 选 择 【 本 地 磁盘 (F: )】 选 项 ， 并 单 击 【确定 】 
按钮 ， 如 图 6-46 所 示 。 
(6) 在 【选择 安装 位 置 】 窗 口中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 6-47 所 示 。 


一 一 连 捍 安装 位 轩 
会 浏览 文件 夫 5 区 | 选择 "Placey"” 的 安装 廊 件 雁 。 


tg 接生 问 maxeg 至 了 列 女 丛 衣 。 要 安装 到 下 同 妇 件 赤 ， 单 由 Cd 览 0)] 六 和 反 
Bs 


EE FF 和 D>] [RCI 


图 6-46 【浏览 文件 夹 】 对 话 框 6-47 选择 安装 路 径 


(7) 在 【选择 “开始 菜单 ”文件 夹 】 窗 口中 ， 单 击 【安装 】 按 钮 ， 如 图 6-48 所 示 。 


选择 “开始 荧 单 ” 文件 垃 
选择 “开始 荣 单 ”文件 来， 用 于 程序 的 块 全 方式- 


和 天， 以 本 6b 和 抽 忆 把 方式 。 你 人 本 二 和 种， 季 加 新 广 


| 


KE-5 oR ] (RO 


图 6-48 ”选择 “开始 菜单 ”文件 夹 


(8) 在 弹出 的 RegSvr32 对 话 框 中 ， 单 击 【 确 定 】 按 钮 ， 如 图 6-49 所 示 。 


全 Flure: 


二 rege HalesVluasyeceVexratt ecx 中 的 有 alegasterserrer 万 功 。 


图 6-49 RegSvr32 对 话 框 


第 三 篇 “网络 设备 安全 


交换 机 安全 配置 
第 / 章 


在 交换 机 上 进行 安全 配置 ， 使 其 成 为 安全 性 加 强 的 交换 机 ， 具 有 抗 攻击 性 ， 比 普通 交换 
机 不 进行 任何 设置 ) 具有 更 高 的 智能 性 和 安全 保护 功能 。 在 系统 安全 方面 ， 交 换 机 在 网 络 
核心 到 边缘 的 整体 架构 中 实现 了 安全 机 制 ， 即 通过 特定 技术 (如 风暴 控制 、 流 控制 、 保 护 
端口 等 ) 对 网 络 管理 信息 进行 传输 控制 ， 在 接 入 安全 性 方面 ， 采 用 安全 接 入 机 制 ， 包 括 IEEE 
802.1x 接 入 验证 、RADIUS 等 技术 。 

除了 具备 一 般 功 能 外 ， 安 全 性 加 强 的 交换 机 还 具备 普通 交换 机 所 不 具备 的 安全 策略 功能 。 
从 网 络 安全 和 用 户 业 务 应 用 出 发 ， 可 实现 特定 的 安全 策略 、 限 制 非法 访问 、 进 行事 后 分 析 、 
有 效 保障 用 户 网 络 业 务 的 正常 开展 等 功能 ， 从 而 更 好 地 遏制 了 随 着 网 络 应 用 而 泛滥 的 内 网 安 
全 隐患 。 

本 章 以 基于 端口 的 各 种 传输 控制 技术 、PVLAN 技术 、IEEE 802.1x 认证 技术 和 远 端 网 络 
监控 技术 对 交换 机 进行 安全 配置 。 


> 掌握 基于 端口 的 传输 控制 

> 了 解 及 掌握 PVLAN 安全 配置 
> 基于 端口 的 IEEE 802.1x 认证 
> 配置 RMON 


7.1 基于 端口 的 传输 控制 


- 般 地 ， 交 换 机 都 具有 基于 端口 的 传输 控制 功能 ， 能 够 实现 风暴 控制 、 端 口 保护 和 端口 
安全 等 。 传 输 控制 功能 用 于 交换 机 与 交换 机 之 间 在 发 生 拥塞 时 通知 对 方 暂时 停止 发 送 数据 包 。 
如 广播 风暴 抑制 可 限制 广播 流量 的 大 小 ， 对 超过 设 定 值 的 广播 流量 进行 丢弃 处 理 。 不 过 ， 交 
换 机 的 传输 控制 只 能 对 经 过 端口 的 各 类 传输 进行 简单 的 速率 限制 ， 将 广播 、 组 播 的 异常 流量 
限制 在 一 定 的 范围 内 ， 而 无 法 区 分 流量 是 否 正常 。 


7.1.1 风暴 控制 
当 端 口 接收 到 大 量 的 广播 、 单 播 或 多 播 包 时 ， 就 会 发 生 广播 风暴 ， 并 且 转 发 这 些 数据 包 


将 导致 网 络 速度 变 慢 或 超时 。 因 此 ， 借 助 于 对 端口 的 广播 风暴 控制 ， 在 某 些 数据 包 过 量 时 ， 
交换 机 会 暂时 禁止 该 类 数据 包 的 转发 ， 直 至 数据 流 恢复 正常 ， 从 而 有 效 地 避免 硬件 损坏 或 链 


路 故障 导致 的 网 络 瘫痪 。 默 认 状 态 下 ， 广 播 、 多 播 和 单 播 风暴 控制 被 禁用 。 


若 要 在 交换 机 上 ， 开 启 风暴 控制 ， 其 语法 格式 为 : 


口 broadcast 代表 广播 风暴 ; multicast 代表 组 播 风暴 ; unicast 代表 未 知 的 单 播 风 暴 。 

口 level 指定 阻塞 端口 的 带宽 上 限 值 。 当 广 播 、 多 播 或 单 播 传输 占 到 宽带 的 多 大 比例 ( 百 
分 比 ) 时 ， 端 口 将 阻塞 传输 。 取 值 范围 为 0.00~100.00。 如 果 将 值 设置 为 100.00， 将 不 
限制 任何 传输 ; 如 果 将 值 设置 为 0.00， 那 么 ， 该 端口 的 所 有 广播 、 多 播 和 单 播 都 将 被 
阻塞 。 

口 level-low 指定 启用 端口 的 带宽 下 限 值 。 该 值 应 当 小 于 或 等 于 上 限 值 ， 当 广播 、 多 播 
或 单 播 传输 占用 带宽 的 比例 低 于 该 值 时 ,端口 恢复 转发 传输 。 取 值 范围 为 0.00~100.00。 

口 bps ”指定 端口 阻塞 的 传输 速率 上 限 值 。 当 广播 、 多 播 或 单 播 传输 达到 每 秒 若干 比特 
(bps ) 时 ， 端 口 将 阻塞 传输 。 取 值 范围 为 0.0~ 10 000 000 000.0。 

口 bps-low ”指定 端口 启用 的 传输 速率 下 限 值 。 该 值 应 当 小 于 或 等 于 上 限 值 ， 当 广播 、 多 
播 或 单 播 传输 低 于 每 秒 若 干 比特 (bps ) 时 ， 端 口 将 恢复 传输 。 取 值 范围 为 0.0~ 10 000 
000 000.0。 

口 pps 指定 端口 阻塞 的 转发 速率 上 限 值 。 当 广播 、 多 播 或 单 播 传输 速率 达到 每 秒 若干 数 
据 包 (pps) 时 ， 端 口 将 阻塞 传输 。 取 值 范围 为 0.0 ~ 10 000 000 000.0。 

口 pps-low 指定 端口 启用 的 传输 速率 下 限 值 。 该 值 应 当 小 于 或 等 于 上 限 值 ， 当 广播 、 多 
播 或 单 播 转发 速率 低 于 每 秒 若干 数据 包 (pps ) 时 , 端口 将 恢复 传输 。 取 值 范围 为 0.0 ~ 


10 000 000 000.0。 
如 果 要 在 交换 机 的 特定 端口 (如 fastethermet0/17 端口 )， 将 广播 风暴 级 别 限制 在 70.5%， 


可 进行 如 下 配置 。 


0 


另外 ， 还 可 以 设置 风暴 发 生 时 交换 机 的 处 理 方式 ， 其 语法 格式 如 下 所 示 。 


默认 状态 下 ， 将 过 滤 外 出 的 传输 ， 并 不 发 送 SNMP 陷阱 。 选 择 shutdown 关键 字 ， 在 风暴 
期 间 将 禁用 端口 ， 选择 trap 关键 字 ， 当 风暴 发 生 时 ， 产 生 一 个 SNMP 陷阱 ， 向 网 络 管理 软件 


发 出 警报 。 


当 在 交换 机 上 ， 禁 用 风暴 控制 功能 时 ， 只 需 在 开启 此 功能 的 命令 前 添加 “no”， 如 在 交换 
机 的 fastethernet0/17 端口 禁用 广播 风暴 控制 功能 和 风暴 控制 处 理 方式 时 ， 可 进行 如 下 配置 。 


利用 show storm-control fastethernet0/17 broadcast 命令 ， 显 示 并 校 验 该 接口 当 
前 的 配置 ; copy running-config startup-config 命令 保存 当前 配置 。 


7.1.2 ” 流 控制 


在 千 兆 端口 启用 流 控制 后 ， 可 以 在 拥塞 期 间 和 暂停 与 其 他 终端 的 连接 。 也 就 是 说 ， 当 端口 
处 于 拥塞 状态 ， 无 法 接收 到 数据 流 时 ， 将 通知 其 他 端口 暂停 发 送 ， 直 到 恢复 正常 状态 。 例 如 ， 
本 地 一 台 交换 机 发 现任 何 终端 发 生 拥 塞 时 ， 它 将 发 送 一 个 暂停 帧 ， 以 通知 其 连接 伙伴 或 远 端 
拥塞 设备 。 当 这 些 设 备 收 到 暂停 帧 后 ， 将 停止 发 送 数据 包 ， 以 防止 在 拥塞 期 内 丢失 。 但 流 控 
制 只 适用 于 交换 机 的 1000Base-T (快速 以 太 网 端口 )、1000Base-SX (多 模 光 纤 接 口 ) 和 GBIC 
(Giga Bitrate Interface Converter， 千 兆 光 纤 接 口 ) 端口。 

若 要 在 交换 机 上 ， 对 特定 端口 进行 流量 控制 配置 时 ， 所 采用 的 命令 格式 如 下 所 示 。 


口 receive 指定 流量 控制 中 接受 暂停 帧 。 

口 send 指定 流量 控制 中 发 送 暂 停 帧 。 

口 on 开启 流 量 控 制 功能 。 

口 off 禁用 流量 控制 功能 。 

例如 , 在 交换 机 特定 端口 (如 GigabitEthernet4/4 端口 ), 开启 接受 暂停 帧 的 流量 控制 功能 ， 
可 进行 如 下 配置 。 


若 要 关闭 流 控制 中 发 送 暂 停 帧 功能 ， 可 选用 “off” 参数 ， 同 样 还 可 以 开启 或 
关闭 发 送 暂停 帧 功能 。 另 外 ， 当 在 交换 机 配置 有 QoS ( Quality of Service ) 时 ， 
不 要 再 配置 IEEE 802.3x 流 控制 。 


7.1.3 ”保护 端口 


保护 端口 可 以 确保 同一 交换 机 上 的 端口 之 间 不 进行 通信 。 因 为 保护 端口 不 向 其 他 保护 端 
口 转发 任何 单 播 、 多 播 和 广播 包 传输 ， 要 实现 保护 端口 间 的 传输 ， 都 必须 通过 第 三 层 设备 转 
发 。 然 而 ， 保 护 端口 与 非 保护 端口 间 的 传输 不 受 任何 影响 。 

在 交换 机 上 ， 把 某 端口 设置 为 保护 端口 ， 其 语法 格式 如 下 所 示 。 


例如 ， 将 交换 机 的 fastethernet1/1 端口 设置 为 保护 端口 ， 可 进行 如 下 配置 。 


7.1.4 ”端口 阻塞 


交换 机 的 默认 操作 中 , 未知 目标 MAC 地 址 的 广播 数据 包 将 被 允许 从 端口 向 外 传输 , 但 如 
果 未 知 的 单 播 和 多 播 通信 被 转发 到 保护 端口 ， 将 导致 安全 问题 。 此 时 ， 可 以 采用 阻塞 端口 的 
方式 ， 防 止 未 知 的 单 播 和 多 播 通信 在 端口 间 转 发 。 

在 交换 机 特定 端口 上 ， 禁 用 未 知 多 播 和 未 知 单 播 从 某 端 口 向 外 转发 ， 其 命令 格式 分 别 如 
下 所 示 。 


口 block 表示 未 知 数据 包 。 

口 multicast 表示 多 播 数 据 包 。 

口 unicast 表示 单 播 数 据 包 。 

例如 ， 在 交换 机 的 fastethernet1/1 端口 ， 禁 用 未 知 多 播 和 未 知 单 播 从 某 端口 向 外 转发 ， 可 
进行 如 下 配置 。 


7.1.5 ”端口 安全 


借助 端口 安全 设置 ,可 以 只 允许 指定 的 MAC 地 址 或 指定 数量 的 MAC 地 址 访问 某 个 端口 ， 
从 而 避免 未 经 授权 的 计算 机 接 入 网 络 ， 或 限制 某 个 端口 所 连接 的 计算 机 数量 ， 从 而 确保 网 络 
接 入 的 安全 。 

当 配 置 端口 安全 时 ， 应 当 注 意 以 下 问题 。 

口 安全 端口 不 能 是 Trunk 端口 。 

口 安全 端口 不 能 是 Switch Port Analyzer (SPAN ) 的 目的 端口 。 

口 安全 端口 不 能 是 属于 EtherChannel 的 端口 。 

口 安全 端口 不 能 是 Private VLAN 端口 。 


EtherChannel 特性 在 交换 机 到 交换 机 、 交 换 机 到 路 由 器 之 间 提 供 宛 余 的 、 
高 速 的 连接 方式 , 简单 说 就 是 将 两 个 设备 间 多 条 快速 以 太 网 或 吉 比 特 以 太 
网 物理 链 路 捆 在 一 起 组 成 一 条 设备 间 逻 辑 链 路 ， 从 而 达到 增加 带宽 ,提供 
宛 余 的 目的 。 


在 交换 机 上 进行 安全 端口 配置 时 ， 可 依次 进行 启用 该 端口 的 安全 功能 、 在 端口 设置 安全 
MAC 地 址 的 最 大 数量 、 违 反 规 则 后 的 处 理 模式 、 指 定安 全 MAC 地 址 和 启动 Sticky learning 
几 项 操作 ， 其 语法 格式 分 别 如 下 所 示 。 


口 安全 MAC 地 址 最 大 数量 设置 
在 端口 设置 安全 MAC 地 址 的 最 大 数量 ， 以 限制 该 端口 所 连接 的 计算 机 数量 。 取 值 范围 为 
1 一 3072， 默 认 值 是 1。 

口 违反 规则 后 处 理 模式 的 设置 

设置 违反 规则 后 的 处 理 模式 ， 那 么 在 安全 违例 事件 发 生 时 ， 会 将 端口 置 于 restrict〈 限 制 ) 
或 shutdown 〈 禁 用 ) 模式 。 选 择 restrict 模式 时 ， 当 非法 MAC 地 址 或 太 多 MAC 连接 至 该 接 
口 时 ， 将 丢弃 数据 包 ， 并 向 网 管 计 算 机 发 送 SNMP 陷阱 通知 ; 选择 shutdown 模式 时 ， 发 生 安 
全 错误 的 端口 将 被 置 于 error-disable 状态 ， 除 非 网 络 管理 员 使 用 no shutdown 命令 手工 激活 ， 
否则 该 端口 失效 。 


口 指定 安全 MAC 地 址 

为 端口 指定 安全 MAC 地 址 ， 也 可 以 使 用 该 命令 指定 最 大 安全 MAC 地 址 数 。 如 果 指 定 的 
MAC 地 址 数量 少 于 安全 地 址 的 最 大 数量 ， 动 态 学 习 的 MAC 地 址 将 被 保留 。 

口 启动 Sticky learning 

在 端口 启用 粘性 学 习 〈Sticky leaming) 功能 ， 端 口 将 把 所 有 的 动态 安全 MAC 地 址 (包括 
启用 粘性 学 习 前 动态 获悉 的 安全 MAC 地 址 ) 转换 为 粘性 安全 MAC 地 址 ， 并 把 它们 加 入 到 运 
行 配置 中 。 

然而 ,粘性 安全 MAC 地 址 不 会 自动 加 入 到 交换 机 重启 时 使 用 的 启动 配置 文件 中 。 如 果 将 
粘性 安全 MAC 地 址 保存 到 启动 配置 文件 中 , 则 交换 机 重启 后 接口 无 需 重新 获悉 这 些 地 址 。 如 
果 不 保存 配置 ， 这 些 MAC 地 址 将 丢失 。 如 果 禁 用 了 粘性 学 习 ， 粘 性 安全 MAC 地 址 将 转换 为 
动态 安全 地 址 ， 并 从 运行 配置 中 删除 。 安 全 端口 可 以 有 1 一 132 个 相关 联 的 安全 地 址 ， 而 整个 
交换 机 最 多 可 以 有 1024 个 安全 地 址 。 

例如 ， 在 交换 机 的 fastethernetl/1 端口 ， 设 置 安全 MAC 地 址 的 最 大 数量 为 5、 违 反 规 
则 后 置 于 restrict 模式 、 指 定安 全 MAC 地 址 为 000a.6e0c.902b 并 启用 Sticky 功能 ， 可 进行 如 下 
配置 。 


当 为 端口 指定 最 大 MAC 地 址 数 时 ,为 了 保障 该 端口 能 够 得 以 充分 利用 ， 可 以 采用 设置 端 
口 安 全 老化 时 间 和 模式 的 方式 ， 让 系统 能 够 自动 删除 长 时 间 未 连接 的 MAC 地 址 ， 从 而 使 管理 
员 不 必 手 动 删除 ， 减 少 网 络 维护 的 工作 量 。 

在 交换 机 上 设置 端口 安全 老化 时 间 和 模式 的 方式 ， 其 语法 格式 如 下 所 示 。 


口 aging time aging time 用 于 设置 端口 安全 老化 时 间 ， 取 值 范围 为 0~1440 分 钟 。 
口 absolute， 采 用 absolute 模式 ， 一 旦 到 达 指 定 的 老化 时 间 ， 那 么 立即 会 将 MAC 地 址 从 
安全 地 址 列表 中 移 除 。 
口 inactivity， 采 用 inactivity 模式 ， 即 使 到 达 指 定 的 老化 时 间 ， 如 果 没有 其 他 数据 通信 ， 
那么 ，MAC 地 址 仍然 被 保留 在 安全 地 址 列表 中 。 
例如 ， 在 交换 机 的 fastethernet1/1 端口 ， 通 过 以 下 命令 可 以 将 端口 安全 老化 时 间 和 模式 分 
别 设置 为 10 分 钟 和 inactivity。 


7.1.6 ”传输 速率 限制 


网 络 传输 速率 变 慢 主 要 由 于 某 些 用 户 对 网 络 流量 的 滥用 。 当 使 用 MRTG 等 流量 监控 软件 
检测 到 流量 来 源 于 某 个 端口 时 ， 可 以 在 核心 交换 机 、 汇 聚 交 换 机 ， 甚 至 接 入 交换 机 上 ， 对 相 
应 的 端口 作 必要 的 处 理 ， 限 制 其 传输 带宽 ， 从 而 限制 每 个 用 户 所 允许 的 最 大 流量 ， 以 便 使 其 
他 网 络 用 户 能 够 恢复 正常 的 网 络 应 用 服务 。 

在 交换 机 上 ， 配 置 端口 带宽 控制 ， 其 语法 格式 如 下 所 示 。 


口 input/output 表明 在 输入 和 输出 方向 应 用 该 带宽 限制 。 通 常 应 当 进行 双向 限制 。 
口 access-group acl-index 用 于 定义 使 用 该 带宽 限制 的 访问 列表 。 
口 bps 用 于 定义 限制 带宽 ， 以 bps 为 单位 ， 并 采用 8kbps 增 量 方式 。 
口 burst-normal 用 于 定义 所 允许 的 普通 突 发 速率 。 
口 burst-max 用 于 定义 所 允许 的 最 大 突 发 速率 。 
口 conform-action conform-action 用 于 指定 在 规定 最 大 带宽 时 所 执行 的 操作 ， 通 常 为 
transmit， 即 允许 发 送 。 
口 exceed-action exceed-action 则 用 于 指定 在 规定 最 大 带宽 时 所 执行 的 操作 ,通常 为 drop， 
即 丢弃 。 
例如 ， 限 制 交换 机 的 GigabitEthernet4/4 端口 带宽 为 128kbps， 当 连接 的 普通 突 发 速率 、 最 
大 突 发 在 8kBytes 〈 即 64kbps) 至 9kBytes( 即 72kbps) 范围 内 时 ， 所 执行 的 操作 是 transmit 
〈 传 输 即 发 送 ) ; 当 超 出 该 范围 时 ， 则 执行 的 相应 操作 为 drop。 其 中 ，128000 用 于 限制 最 大 带 
宽 ，8000 和 9000 则 用 于 限制 突 发 连接 ， 保 证 不 因 个 别 用 户 的 大 量 传输 而 使 整个 链 路 性 能 大 幅 
度 下 降 。 限 制 输入 和 输出 速率 后 ， 可 进行 如 下 配置 。 


配置 中 ， 应 用 的 IP 访问 列表 只 需 设置 使 用 带宽 限制 的 用 户 IP 地 址 范围 〈192.168.0.0 一 
192.168.255.255) 即 可 ， 内 容 如 下 所 示 。 


为 了 实现 交换 机 快速 执行 流量 分 配 操作 ， 在 启用 宽带 限制 之 前 ， 必 须 先 在 全 


局 模式 下 执行 ip cef 命令， 启用 交换 机 的 快速 转发 技术 。 


7.1.7 MAC 地 址 更 新 通知 


MAC 地 址 唯一 地 标识 了 世界 上 的 每 个 以 太 网 设备 ， 每 一 个 生产 网 络 设备 的 厂商 都 要 将 
MAC 地 址 预先 写 进 其 设备 中 (如 以 太 网 网 卡 、 路 由 器 、 交 换 机 等 )。 目 前 来 讲 ， 获 得 MAC 地 
址 的 方法 有 很 多 。 这 里 主要 以 Cisco 的 IOS 为 例 来 讲解 一 下 用 户 该 如 何 获得 、 改变 MAC 地 址 ， 
并 使 用 MAC 地 址 进行 网 络 通信 的 过 滤 。 


在 交换 机 中 ， 可 以 通过 show mac-address-table 命令 ， 来 获取 MAC 地 址 表 。 
例如 ，Switch# show mac-address-table 


另外 ， 还 可 以 通过 查看 交换 机 端口 信息 ， 来 获取 MAC 地址 ， 其 语法 格式 如 下 所 示 。 


例如 :Switch# show interfaces 


输出 显示 中 第 二 行 , 可 看 到 “bia 0003.e39b.9220”, bia 即 “ 烧 录 地 址 ”(bured in address ) ， 
MAC 地 址 即 0003.e39b.9220。 


更 改 MAC 地 址 实质 上 为 MAC 欺骗 ， 特 别 是 对 于 无 线 网 络 的 攻击 ， 改 变 MAC 地 址 是 常 
用 的 方法 。 另 外 ， 改 变 MAC 地 址 也 可 以 用 于 合法 的 用 途 ， 如 测试 MAC 过 滤 。 
若 要 在 交换 机 设备 上 ， 更 改 MAC 地 址 ， 其 语法 格式 如 下 所 示 。 


例如 ，Switch#configure terminal 


完成 MAC 地 址 更 改 后 ， 可 以 使 用 show interface 命令 来 查看 新 的 地 址 。 


通过 协议 分 析 仪 ， 可 以 发 现 网 络 中 某 些 设备 在 执行 非法 的 数据 通信 。 例 如 ， 某 设备 通过 
多 个 也 地 址 发 送 数 据 包 。 这 种 情况 ， 可 以 使 用 show mac-address-table 命令 来 查看 它 所 使 用 的 
交换 机 端口 ， 并 可 以 关闭 此 端口 。 但 是 ， 如 果 此 端口 连接 的 是 一 个 集线器 ， 而 集线器 又 连接 
了 许多 其 他 设备 时 该 怎么 办 ? 

此 时 ， 可 使 用 MAC 地 址 过 滤 来 对 交换 机 或 路 由 器 的 数据 通信 进行 过 滤 。 

例如 ，Switch#configure terminal 


此 配置 是 在 Cisco Catalyst 3750 GigabitEthernet Switch 交换 机 上 完成 。 创 建 了 一 个 名 为 
“filtermac” 的 ACL (访问 控制 表 ) ,该 ACL 拒绝 了 与 源 地 址 为 0000.0000.0001 (十 六 进 制 非 
二 进 制 ) 的 所 有 数据 通信 ， 但 是 却 允 许 其 他 地 址 的 数据 通信 。 然 后 ， 将 这 个 ACL 应 用 到 交换 
机 GigabitEthermet1/0/40 端口 ， 从 而 防止 了 拥有 这 个 MAC 地 址 的 设备 与 本 端口 的 数据 通信 ， 
而 不 管 它 的 也 地址 是 什么 。 


7.1.8 绑 定 IP 和 MAC 地 址 


影响 网 络 安全 的 因素 很 多 , IP 地 址 盗用 或 地 址 欺骗 就 是 其 中 一 个 常见 且 危 害 极 大 的 因素 。 
现实 中 , 许多 网 络 应 用 是 基于 IP 的 ， 比 如 流量 统计 、 账 号 控制 等 都 将 瑟 地 址 作为 标志 用 户 的 
一 个 重要 的 参数 。 如 果 有 人 盗用 了 合法 地 址 并 伪装 成 合法 用 户 ， 那 么 网 络 上 传输 的 数据 就 可 
能 被 破坏 ， 甚 至 盗用 ， 造 成 无 法 弥补 的 损失 。 

针对 目前 ARP 病毒 肆虐 ， 利 用 ARP〈 地 址 解析 协议 ) 进行 欺骗 的 网 络 问题 也 日 渐 严重 。 
在 防范 过 程 中 除了 可 以 通过 划分 VLAN 来 抑制 问题 的 扩散 外 ， 还 可 以 将 他 地址 与 MAC 地 址 
进行 绑 定 以 达到 最 佳 的 防范 结果 。 

在 交换 机 上 简单 实现 他 地 址 与 MAC 地 址 绑 定 ， 实 际 上 是 使 用 端口 (已 配置 过 IP 地 址 ) 
来 绑 定 MAC 地 址 ， 即 一 个 MAC 地 址 与 一 个 IP 地址 进行 绑 定 ， 其 语法 格式 如 下 所 示 。 


口 mac_address 代表 被 绑 定 的 计算 机 MAC 地 址 。 
例如 ， 若 要 将 交换 机 的 fastethernet1/1 端口 ， 与 某 计算 机 的 MAC 地 址 000a.6e0c.902b 进 
行 绑 定 ， 可 进行 如 下 配置 。 


这 个 配置 只 可 以 一 个 端口 绑 定 一 个 MAC 地 址 , 少数 人 会 用 交换 机 一 个 端口 只 绑 定 一 台 计 
算 机 〈 浪 费 带宽 )。 通 常 要 绑 定 多 个 人 P 地 址 与 MAC 地 址 ， 但 必须 首先 创建 两 个 访问 控制 列表 
(一 个 是 关于 MAC 地 址 ， 一 个 是 关于 IP 地 址 )， 然 后 将 创建 好 的 访问 控制 列表 应 用 到 需要 配 
置 的 端口 。 

例如 ， 在 交换 机 上 将 某 计 算 机 的 MAC 地 址 000a.6e0c.902b， 和 网 络 中 所 有 能 够 访问 该 计 
算 机 的 多 台 计 算 机， 与 交换 机 的 fastethermet1/1 端口 (IP 地 址 为 10.0.0.1) 进行 绑 定 ， 即 多 个 
卫 地 址 与 MAC 地 址 的 绑 定 。 可 进行 如 下 配置 。 
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Switch (config-if)#exit 


Switch# copy running-config startup-config 


mac access-list extended mac-vfast 用 来 配置 一 个 名 称 为 mac-vfast 的 MAC 访问 
控制 列表 ; permit host 000a.6e0c.902b any 代表 源 MAC 为 000a.6e0c.902b 的 计 
算 机 可 以 访问 网 络 中 任意 其 他 计算 机 ; permit any host 000a.6e0c.902b 代表 所 
有 计算 机 可 以 访问 目标 MAC 为 000a.6e0c.902b 的 计算 机 ; permit ip 10.0.0.1 
0.0.0.0 any 表示 允许 10.0.0.1 地 址 在 网 络 内 工作 。 
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四 
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局 域 网 交换 机 的 引入 ， 使 得 网 络 中 计算 机 间 可 独 享 带宽 ， 消 除了 无 谓 的 碰撞 检测 和 出 错 
重 发 ， 从 而 提高 了 数据 传输 效率 ， 因 为 在 交换 机 中 可 并 行 地 维护 几 个 独立 的 、 互 不 影响 的 通 
信 进 程 。 但 是 ， 当 网 络 上 某 一 节点 发 送 广播 或 组 播 ,或 发 送 了 一 个 交换 机 不 认识 的 MAC 地址 
封包 时 ， 交 换 机 上 的 所 有 节点 都 将 收 到 这 一 广播 信息 ， 那 么 整个 交换 环境 构成 一 个 大 的 广播 
域 。 点 到 点 在 数据 链 路 层 快速 、 有 效 地 交换 ， 但 广播 风暴 会 使 网 络 的 效率 大 打折 扣 。 交 换 机 
的 速度 非常 高 ， 比 路 由 器 快 得 多 ， 而 且 价格 便宜 得 多 。 可 以 说 ， 在 网 络 系统 集成 的 技术 中 
直接 面向 用 户 的 第 一 层 接口 和 第 二 层 交 换 技 术 方面 已 得 到 令 人 满意 的 答案 。 

交换 式 局 域 网 技术 使 专用 的 带宽 为 用 户 所 独 享 ， 极 大 地 提高 了 局 域 网 数据 传输 的 效率 。 
但 第 二 层 交 换 也 暴露 出 弱点 ， 如 对 于 广播 风暴 、 异 种 网 络 互 连 、 安 全 性 控制 等 不 能 有 效 地 解 
决 。 而 此 时 ， 作 为 网 络 核心 、 起 到 网 间 互 连作 用 的 路 由 器 技术 也 未 出 现 质 的 突破 。 且 大 部 分 
企业 网 都 已 变 成 实施 TCP/IP 协议 的 Web 技术 的 内 联网 , 用 户 数据 越过 本 地 的 网 络 在 网 际 间 传 
送 ， 因 而 ， 路 由 器 常常 不 堪 重 负 。 另 外 ， 传 统 的 路 由 器 基于 软件 ， 协 议 复杂 ， 与 局 域 网 速度 
相 比 ， 其 数据 传输 的 效率 较 低 ， 同 时 它 又 作为 网 段 ( 子 网 或 VLAN) 互 连 的 枢纽 ， 这 就 使 传 
统 的 路 由 器 技术 面临 严峻 的 挑战 。 

在 这 种 情况 下 ， 一 种 新 的 路 由 技术 应 运 而 生 ， 即 第 三 层 交 换 技 术 ， 也 称 为 卫 交换 技术 、 
高 速 路 由 技术 等 。 它 是 相对 于 传统 交换 概念 而 提出 的 ， 大 都 知道 传统 的 交换 技术 是 在 OSI 网 
络 互联 模型 的 第 二 层 〈 数 据 链 路 层 ) 应 用 的 ， 而 第 三 层 交 换 技 术 则 在 网 络 模型 中 的 第 三 层 实 
现 了 数据 包 的 高 速 转发 。 简 单 地 说 ， 第 三 层 交 换 技 术 就 是 第 二 层 交 换 技 术 + 第 三 层 转 发 技术 
一 种 利用 第 三 层 协 议 中 的 信息 来 加 强 第 二 层 交 换 功能 的 机 制 。 

一 个 具有 第 三 层 交 换 功 能 的 设备 是 一 个 带 有 第 三 层 路 由 功能 的 第 二 层 交 换 机 ， 但 它 是 两 
者 的 有 机 结合 ， 并 不 是 简单 地 把 路 由 器 设备 的 硬件 及 软件 简单 地 炙 加 在 局 域 网 交换 机 上 。 从 
硬件 的 实现 上 看 ， 目前 ， 第 二 层 交 换 机 的 接口 模块 都 是 通过 高 速 背 板 /总 线 〈 速 率 可 高 达 几 十 
Gbit/s) 交换 数据 的 ， 在 第 三 层 交 换 机 中 ， 与 路 由 器 有 关 的 第 三 层 路 由 硬件 模块 也 插 接 在 高 速 
背 板 / 总 线 上 ， 这 种 方式 使 得 路 由 模块 可 以 与 需要 路 由 的 其 他 模块 间 快 速 地 交换 数据 ， 从 而 突 
破 了 传统 的 外 接 路 由 器 接口 速率 的 限制 (10Mbits~100Mbits )。 总 体 来 讲 ， 三 层 交 换 技 术 有 
以 下 技术 特点 。 
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CC 人 线 速 路 由 ) 

和 传统 的 路 由 器 相 比 ， 第 三 层 交 换 机 的 路 由 速度 一 般 要 快 十 倍 或 数 十 倍 ， 能 实现 线 速 路 
由 转发 。 传 统 路 由 器 采用 软件 来 维护 路 由 表 ， 而 第 三 层 交 换 机 采用 ASIC (Application Specific 
Integrated Circuit) 硬件 来 维护 路 由 表 ， 因 而 能 实现 线 速 的 路 由 。 


“ 线 速 ”是 网 络 设备 交换 转发 能 力 的 一 个 标准 ， 而 非 通常 所 言 的 线 速度 和 角 
速度 。 达 到 线束 标准 的 设备 ， 避 免 了 非 线 速 设备 的 转发 瓶颈 ， 称 作 “ 无 阻塞 
处 理 ”。 


(5 2- IP 路 由 


在 局 域 网 上 ， 二 层 的 交换 机 通过 源 MAC 地 址 来 标识 数据 包 的 发 送 者 ,根据 目标 MAC 地 
址 来 转发 数据 包 。 对 于 一 个 目的 地 址 不 在 本 局 域 网 上 的 数据 包 ， 二 层 交 换 机 不 可 能 直接 把 它 
送 到 目的 地 ， 需 要 通过 路 由 设备 〈 比 如 传统 的 路 由 器 ) 来 转发 ， 这 时 就 要 把 交换 机 连接 到 路 
由 设备 上 。 如 果 把 交换 机 的 默认 网 关 设 置 为 路 由 设备 的 下 地址， 交换 机 会 把 需要 经 过 路 由 转 
发 的 包 送 到 路 由 设备 上 。 路 由 设备 检查 数据 包 的 目的 地 址 和 自己 的 路 由 表 ， 如 果 在 路 由 表 中 
找到 转发 路 径 ， 路 由 设备 把 该 数据 包 转 发 到 其 他 网 段 上 ， 和 否则， 丢弃 该 数据 包 。 专 用 传统 ) 
路 由 器 昂贵 ， 复 杂 ， 速 度 慢 ， 易 成 为 网 络 瓶颈 ， 因 为 它 要 分 析 所 有 的 广播 包 并 转发 其 中 的 一 
部 分 ， 还 要 和 其 他 路 由 器 交换 路 由 信息 ， 并 且 这 些 处 理 过 程 都 是 由 CPU 来 处 理 的 (不 是 专用 
的 ASIC), 所 以 速度 慢 。 第 三 层 交 换 机 既 能 像 二 层 交 换 机 那样 通过 MAC 地 址 来 标识 转发 数据 
包 ， 又 能 像 传 统 路 由 器 那样 在 两 个 网 段 之 间 进 行路 由 转发 :而 且 由 于 是 通过 专用 的 芯片 来 处 
理 路 由 转发 ， 第 三 层 交换 机 能 实现 线 速 路 由 。 


(5 3， 路 由 功能 ) 


比较 传统 的 路 由 器 , 第 三 层 交 换 机 不 仅 路 由 速度 快 , 而 且 配 置 简单 。 在 最 简单 的 情况 ( 即 
第 三 层 交换 机 默认 启动 自动 发 现 功能 时 )， 一 旦 交换 机 接 进 网 络 ， 只 要 设置 完 VLAN， 并 为 每 
个 VLAN 设置 一 个 路 由 接口 。 第 三 层 交 换 机 就 会 自动 把 子 网 内 部 的 数据 流 限定 在 子 网 之 内 ， 
并 通过 路 由 实现 子 网 之 间 的 数据 包 交 换 。 管 理 员 也 可 以 通过 人 工 配置 路 由 的 方式 设置 基于 端 
口 的 VLAN, 给 每 个 VLAN 配 上 了 P 地 址 和 子 网 掩 码 ， 就 产生 了 一 个 路 由 接口 。 随 后 ， 手 工 设 
置 静态 路 由 或 启动 动态 路 由 协议 。 


人 4 路 由 协议 支持 

第 三 层 交换 机 可 以 通过 自动 发 现 功能 来 处 理 本 地 他 包 的 转发 及 学 习 邻 近 路 由 器 的 地 址 ， 
同时 也 可 以 通过 动态 路 由 协议 RIPv1，RIPv2，OSPF 来 计算 路 由 路 径 。 路 由 信息 协议 (RIP) 
是 一 个 内 部 网 关 协 议 (IGP)， 主 要 应 用 在 中 等 规模 的 网 络 ， 采 用 距离 向 量 算法 ， 在 路 由 信息 
中 包括 了 到 达 目 的 他 〈 向 量 ) 的 跳跃 次 数 〈 距 离 )， 跳 跃 次 数 最 小 的 路 径 是 最 优 路 径 。RIP 允 
许 的 最 大 跳跃 次 数 为 15， 需 要 跳跃 16 次 及 其 以 上 的 目的 地 址 被 认为 是 不 可 达 的 。RIP 路 由 器 
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通过 周期 性 广播 来 与 邻近 的 RIP 路 由 器 交换 路 由 信息 ， 广 播 的 时 间 间 隔 可 以 设 定 。 广 播 的 内 
容 就 是 整个 路 由 表 。 当 RIP 路 由 器 收 到 邻近 路 由 器 的 路 由 表 后 ， 要 经 过 计算 来 决定 是 否 更 新 
自己 的 路 由 表 。 如 果 自 己 的 路 由 表 需 要 更 新 ， 路 由 器 在 更 新 完毕 后 会 立即 把 更 新 的 内 容 发 到 
邻近 的 路 由 器 而 不 必 等 待 广播 间隔 时 间 的 结束 。 


@ 5. 自动 发 现 功能 ) 


一 些 第 三 层 交 换 机 具有 自动 发 现 功能 ， 该 功能 可 以 减少 配置 的 复杂 性 。 第 三 层 交 换 机 可 
以 通过 监视 数据 流 来 学 习 路 由 信息 ， 通 过 对 端口 入 站 数据 包 的 分 析 ， 第 三 层 交 换 机 能 自动 地 
发 现 和 产生 一 个 广播 域 、VLAN、 子 网 和 更 新 它们 的 成 员 。 自 动 发 现 功 能 在 不 改变 任何 配置 的 
情况 下 ， 提 高 网 络 的 性 能 。 
第 三 层 交换 机 启动 后 就 自动 具有 也 包 的 路 由 功能 ， 它 检查 所 有 的 入 站 数据 包 来 学 习 子 网 
和 工作 站 的 地 址 ， 它 自动 地 发 送 路 由 信息 给 邻近 的 路 由 器 和 第 三 层 交 换 机 ， 转 发 数据 包 。 一 
且 第 三 层 交 换 机 连接 到 网 络 ， 它 就 开始 监听 网 上 的 数据 包 ， 并 根据 学 习 到 的 内 容 建立 并 不 断 
更 新 路 由 表 。 交 换 机 在 自动 发 现 过 程 中 ， 不 需要 额外 的 管理 配置 ， 也 不 会 发 送 探测 包 来 增加 
网 络 的 负担 。 用 户 可 以 先 用 自动 发 现 功能 来 获得 简单 高 效 的 网 络 性 能 ， 然 后 根据 需要 来 添加 
其 他 的 路 由 、VLAN 等 功能 。 
在 第 三 层 ， 自 动 发 现 有 如 下 过 程 。 
口 通过 侦察 ARP，RARP 或 者 DHCP 响应 包 的 原 亿 地址， 在 几 秒 钟 之 内 发 现 亿 子 网 的 
拓扑 结构 。 
口 在 同一 网 络 的 不 同 网 段 之 间 建 立 一 个 逻辑 连接 ， 即 在 网 段 间 进 行路 由 ， 实 现 网 段 间 信 
息 通信 。 
口 学 习 地 址 ,根据 于 子 网 ,网 络 协议 或 组 播 地 址 来 配置 VLAN, 使 用 IGMP( Internet Group 
Management Protocol ) 来 动态 更 新 VLAN 成 员 。 
口 支持 ICMP (internet control message protocol ) 路 由 发 现 选 项 。 
口 存储 学 习 到 的 路 由 到 硬件 中 ， 用 线 速 转发 这 些 地 址 的 数据 包 。 
口 把 目的 地 址 不 在 路 由 表 中 的 包 送 到 网 络 上 的 其 他 路 由 器 。 
口 通过 侦 听 ARP 请 求 来 学 习 每 一 台 工作 站 的 地 址 。 
口 在 子 网 之 内 实现 也 包 的 交换 。 


7.2 PVLAN 安全 


要 在 数据 链 路 层 网 络 上 隔离 用 户 或 广播 数据 包 ， 可 以 将 一 组 设备 加 入 到 一 个 VLAN 中 ， 
但 VLAN 的 最 大 个 数 只 有 4096, 所 以 当 需 要 隔离 大 量 广播 域 时 会 受到 VLAN 个 数 的 限制 。 例 
如 ， 通 常 在 服务 提供 商 〈SP) 网 络 中 ， 为 了 隔离 不 同 客户 之 间 的 通信 而 将 一 个 客户 作为 一 个 
VLAN， 但 如 果 客 户 数量 增加 到 VLAN 的 最 大 个 数 时 ， 服 务 提供 商 提供 的 服务 将 受到 限制 。 

这 种 一 个 客户 作为 一 个 VLAN 的 解决 方案 ， 服 务 器 提供 商 需要 为 每 个 客户 分 配 一 个 子 网 
的 地 址 ， 不 过 会 导致 下 地 址 的 浪费 。 此 时 ， 可 利用 Private VLAN 技术 来 解决 。 


7.2.1 PVLAN 概述 


随 着 网 络 的 迅速 发 展 ， 用 户 对 于 网 络 数 据 通 信 的 安全 性 提出 了 更 高 的 要 求 ， 诸 如 防范 黑 
客 攻击 、 控 制 病毒 传播 等 ， 都 要 求 保证 网 络 用 户 通信 的 相对 安全 性 ; 传统 的 解决 方法 是 给 每 
个 客户 分 配 一 个 VLAN 和 相关 的 王子 网 , 通过 使 用 VLAN, 每 个 客户 从 数据 链 路 层 被 隔离 开 ， 
可 以 防止 任何 恶意 的 行为 和 Ethernet 的 信息 探听 。 然 而 ， 这 种 分 配 每 个 客户 单一 VLAN 和 了 P 
子 网 的 模型 造成 了 巨大 的 可 扩展 方面 的 局 限 。 这 些 局 限 主 要 有 下 述 几 个 方面 。 

口 VLAN 的 限制 ”交换 机 固有 的 VLAN 数目 的 限制 。 
口 复杂 的 STP ”对 于 每 个 VLAN， 每 个 相关 的 Spanning Tree 的 拓扑 都 需要 管理 。 
口 IP 地 址 的 紧缺 也 子 网 的 划分 势必 造成 一 些 IP 地 址 的 浪费 。 
口 路 由 的 限制 ”每 个 子 网 都 需要 相应 的 默认 网 关 的 配置 。 


STP ( Spanning Tree Protocol， 生 成 树 协议 )， 该 协议 可 应 用 于 环 路 网 络 ， 通 过 
一 定 的 算法 实现 路 径 宛 余 ， 同 时 将 环 路 网 络 修剪 成 无 环 路 的 树 型 网 络 ， 从 而 
避免 报 文 在 环 路 网 络 中 的 增生 和 无 限 循环 。 


Private VLAN (私有 VLAN，PVLAN)， 能 够 为 相同 VLAN 内 的 不 同 端口 提供 隔离 的 
VLAN。 也 就 是 说 , 通过 PVLAN 技术 可 以 隔离 相同 VLAN 中 网 络 设备 之 间 的 流量 , 并 且 位 于 
相同 子 网 的 所 有 设备 都 只 能 与 网 关 或 其 他 网 络 进行 通信 ， 实 现 网 络 内 部 的 隔离 。 

PLAN 可 以 将 一 个 VLAN 的 广播 域 划分 为 多 个 子 域 ， 每 个 子 域 都 由 Primary VLAN ( 主 
VLAN) 和 Secondary VLAN (辅助 VLAN) 一 对 VLAN 组 成 。 在 整个 PVLAN 域 中 ， 只 有 一 
个 主 VLAN, 每 个 子 域 有 不 同 的 辅助 VLAN, 并 通过 辅助 VLAN 实现 数据 链 路 层 网 络 的 隔离 。 

口 主 VLAN 主 VLAN 是 PVLAN 的 高 级 VLAN。 

口 辅助 VLAN 辅助 VLAN 是 PVLAN 中 的 子 VLAN， 并 且 映 射 到 一 个 主 VLAN。 每 台 
接 入 设备 都 连接 到 辅助 VLAN。 

辅助 VLAN 有 如 下 两 种 类 型 。 

口 隔离 YLAN (Isolated VLAN) 同一 个 隔离 VLAN 中 的 端口 相互 不 能 进行 数据 链 路 层 
通信 ， 一 个 私有 VLAN 域 中 只 有 一 个 隔离 VLAN。 

口 团体 VLAN (Community VLAN) 同一 个 团体 VLAN 中 的 端口 可 以 进行 数据 链 路 层 
通信 ， 但 不 能 与 其 他 团体 VLAN 中 的 端口 进行 数据 链 路 层 通 信 ， 一 个 私有 VLAN 中 
可 以 有 多 个 团体 VLAN,。 

PVLAN 中 的 端口 有 如 下 几 种 类 型 。 

口 混杂 端口 (Promiscuous Port) 混杂 端口 为 主 VLAN 中 的 端口 , 可 以 与 任何 端口 通信 ， 
包括 同一 个 PVLAN 中 的 隔离 端口 和 团体 端口 。 

口 隔离 端口 (Isolated Port) 隔离 端口 为 隔离 VLAN 中 的 端口 ， 隔 离 端口 只 能 与 混杂 端 
口 进行 通信 。 

口 团体 端口 (Community Port) 团体 端口 为 团体 VLAN 中 的 端口 ， 同 一 个 团体 VLAN 
中 的 团体 端口 之 间 可 以 相互 通信 ， 且 团体 端口 可 以 与 混杂 端口 通信 ， 但 不 能 与 其 他 团 
体 VLAN 的 端口 进行 通信 。 


如 图 7-1 所 示 的 网 络 中 ， 通 过 PVLAN 技术 针对 不 同 的 部 门 配置 不 同 的 VLAN 类 型 ， 从 
而 实现 部 门 间 的 隔离 或 部 门 内 部 计算 机 的 隔离 。 


7-1 所 示 的 网 络 中 ， 主 VLAN 有 3 个 部 门 ， 其 中 行政 部 属于 团体 VLAN 10， 商 务 部 属 
于 团体 VLAN 20， 财 务 部 属于 隔离 VLAN 30。 由 于 3 个 部 门 属于 同一 个 主 VLAN， 所 以 3 个 
部 门 中 计算 机 的 瑟 地 址 都 属于 同一 个 子 网 。 行 政 部 及 商务 部 里 的 各 设备 能 够 通信 ， 财 务 部 门 
的 设备 属于 隔离 VLAN， 因 此 互相 之 间 不 能 通信 。 但 3 个 部 门 中 各 设备 都 能 与 主 VLAN 中 的 
混杂 端口 通信 而 实现 对 其 他 网 络 的 访问 。 


7.2.2 配置 PVLAN 


在 交换 机 上 配置 PVLAN， 并 使 其 处 于 Active (激活 ) 状态 ， 则 必须 满足 以 下 条 件 。 
口 具有 主 VLAN。 

口 具有 辅助 VLAN。 

口 辅助 VLAN 和 主 VLAN 进行 关联 。 

口 主 VLAN 内 有 混杂 端口 。 


进行 主 VLAN 与 辅助 VLAN 设置 ， 也 即 指定 VLAN 类 型 的 过 程 ， 其 语法 格式 如 下 所 示 。 
Switch (config-vlan)fprivate-vlan {communitylisolatedlprinary} | 


该 条 件 下 ， 首 先 需要 进入 主 VLAN 的 VLAN 配置 模式 ， 然 后 再 关联 辅助 VLAN 到 主 
VLAN， 其 语法 格式 分 别 如 下 所 示 。 


该 条 件 下 , 首先 进入 主 VLAN 的 VLAN 的 端口 模式 ,然后 再 将 辅助 VLAN 映射 到 主 VLAN 
的 网 络 接口 ， 其 语法 格式 分 别 如 下 所 示 。 


配置 交换 机 端口 为 主机 端口 时 ， 需 要 进入 连接 计算 机 的 端口 ， 把 它 配 置 为 主机 端口 ， 并 
将 其 关联 到 PVLAN， 其 语法 格式 分 别 如 下 所 示 。 


配置 混杂 端口 时 ， 首 先进 入 主机 端口 ， 然 后 配置 其 为 混杂 端口 ， 最 后 配置 混杂 端口 所 在 
的 主 VLAN 及 关联 的 辅助 VLAN， 其 语法 格式 分 别 如 下 所 示 。 


七 ch (co 


在 图 7-2 所 示 的 拓扑 图 中 ,设置 VLAN10 为 Primary VLAN, VLAN20 为 Community VLAN， 
VLAN30 为 Isolated VLAN。 端 口 F0/1 和 F0/2 为 VLAN30 的 端口 ， 端 口 F0/3 和 端口 F0/4 为 
VLAN20 的 端口 ， 端 口 F0/5 为 Private VLAN 的 混杂 端口 ， 与 VLAN20 和 VLAN30 关联 。 


VLAN10:Primary VLAN 
VLAN20:Community VLAN 
VLAN30;Isolated VLAN 


图 7-2 Private VLAN 实例 


若 要 实现 图 7-2 实例 中 的 需求 ， 在 交换 机 上 可 进行 如 下 配置 。 


使 用 如 下 命令 可 查看 Private VLAN 的 配置 及 状态 信息 。 


其 中 ,参数 primary 表示 显示 主 VLAN 信息 ;community 表示 显示 团体 VLAN 信息 ;isolated 
表示 显示 隔离 VLAN 信息 。 


7.2.3 网 答 心 得 一 一 VLAN 枝 术 自 皮 书 
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l@ 1. 基于 端口 VLAN 技术 和 


利用 交换 机 的 端口 来 划分 VLAN， 使 被 设 定 的 端口 都 在 同一 个 广播 域 中 ， 这 样 划分 的 
VLAN 也 称 为 静态 VLAN 技术 (因为 用 端口 划分 VLAN 将 交换 机 的 端口 与 VLAN 进行 了 相应 
的 绑 定 ) 。 

基于 端口 的 VLAN 的 划分 是 最 简单 、 有 效 地 VLAN 划分 方法 ， 它 按照 局 域 网 交换 机 端口 Co3) 
来 定义 VLAN 成 员 。VLAN 从 逻辑 上 把 局 域 网 交换 机 的 端口 划分 开 来 ， 从 而 把 终端 系统 划分 
为 不 同 的 部 分 ， 各 部 分 相对 独立 ， 在 功能 上 模拟 了 传统 的 局 域 网 。 

例如 ， 一 个 交换 机 的 一 些 端口 (1、2) 被 定义 为 VLAN1， 同 一 交换 机 的 另 一 些 端口 (3、 
4) 则 被 定义 为 VLAN2。 这 样 做 允许 各 端口 之 间 通 信 ， 并 人 允许 共享 型 网 络 的 升级 。 但 是 ， 这 
种 划分 模式 将 虚拟 网 限制 在 一 台 交 换 机 上 ， 如 图 7-3 所 示 。 


将 交换 机 的 每 个 端口 静态 地 
指派 为 相应 VLAN 


到 本 4 
VLAN2 交换 机 
计算 机 计算 机 计算 机 计算 机 


图 7-3 基于 端口 划分 VLAN 基本 结构 图 


第 二 代 端 口 VLAN 技术 允许 跨越 多 个 交换 机 的 多 个 不 同 端口 划分 VLAN， 不 同 交换 机 上 
的 若干 个 端口 可 以 组 成 同一 个 虚拟 网 。 

以 交换 机 端口 来 划分 网 络 成 员 ， 其 配置 过 程 简 单 明 了 。 因 此 ， 从 目前 来 看 ， 这 种 根据 端 
口 来 划分 VLAN 的 方式 仍然 是 最 常用 的 一 种 方法 。 


2 基于 MAC 地 址 VLAN 技术 一 


根据 MAC 地 址 所 划分 的 VLAN， 称 为 动态 VLAN 技术 。 这 种 划分 VLAN 的 方法 是 根据 
每 个 计算 机 的 MAC 地 址 来 划分 ， 即 对 每 个 MAC 地址 的 计算 机 都 配置 它 属于 哪个 VLAN， 如 
图 7-4 所 示 。 

利用 这 种 划分 VLAN 方法 的 最 大 优点 就 是 当 用 户 物理 位 置 移动 时 ， 即 从 一 个 交换 机 换 到 
其 他 交换 机 时 ，VLAN 不 用 重新 配置 , 可 以 认为 这 种 根据 MAC 地 址 的 划分 方法 是 基于 用 户 的 
VLAN。 这 种 方法 的 缺点 是 初始 化 时 ， 所 有 的 用 户 都 必须 进行 配置 ， 如 果 有 几 百 个 甚至 上 千 个 
户 的 话 ， 配 置 非常 烦琐 。 

而 且 这 种 划分 的 方法 也 导致 交换 机 执行 效率 的 降低 ， 因 为 在 每 一 个 交换 机 的 端口 都 可 能 
存在 很 多 个 VLAN 组 的 成 员 ， 这 样 就 无 法 限制 广播 包 。 


第 三 篇 ”网 络 设备 安全 


即使 计算 机 改变 了 所 连接 的 端口 ， 交 


换 机 仍 能 够 查 出 它 对 应 的 MAC 地 址 ， 
[| 并 正确 指定 端口 所 属 的 VLAN 。 
VLAN!1 1 3 
Ys 交换 机 
MACA MACB MACC MACD MACA MACC MACB MACD 


图 7-4 基于 MAC 地 址 划分 VLAN 结构 图 


太 3. 基于 IP 组 播 VLAN 技术 D 


组 播 作为 一 点 对 多 点 的 通信 ， 是 节省 网 络 带宽 的 有 效 方 法 之 一 。 它 能 够 使 一 个 或 多 个 发 
送 者 将 数据 帧 发 送 给 一 个 组 地 址 ， 而 不 是 单 台 计算 机 。 一 个 VLAN 就 是 一 个 逻辑 的 组 播 域 ， 
即 他 组 播 实 际 上 也 是 一 种 VLAN 的 定义 ， 如 图 7-5 所 示 。 


财务 组 VLAN3 销售 组 VLAN 4 


图 7-5 基于 下 组 播 划 分 VLAN 结构 图 


基于 组 播 的 VLAN 技术 ， 是 动态 地 把 那些 需要 同时 通信 的 端口 定义 到 一 个 VLAN 中 ,并 
在 VLAN 中 用 广播 的 方法 解决 点 对 多 点 通信 的 问题 ， 扩 大 了 广域网 。 从 实际 意义 上 来 讲 ， 具 
有 更 大 的 灵活 性 , 而 且 也 很 容易 通过 路 由 器 进行 扩展 , 但 这 种 方法 不 适合 局 域 网 (效率 不 高 )。 


4. 基于 策略 VLAN 技术 一 


基于 策略 VLAN 技术 也 称 为 基于 规则 的 VLAN 技术 。 这 是 最 灵活 的 VLAN 划分 方法 , 具 
有 自动 配置 的 能 力 ， 能 够 把 相关 的 用 户 连 在 一 起 。 网 络 管理 员 只 需 在 网 管 软件 中 规定 好 划分 
VLAN 的 规则 (或 属性 ) ， 那 么 当 一 个 站 点 加 入 到 网 络 中 时 ， 将 会 遵循 该 规则 ， 并 被 自动 地 
加 入 到 正确 的 VLAN 中 。 同 时 对 站 点 的 移动 和 改变 也 可 进行 自动 的 调整 。 

使 用 这 种 划分 VLAN 的 方法 ， 整 个 网 络 可 以 非常 方便 地 通过 路 由 器 扩展 网 络 的 规模 。 有 
的 产品 还 支持 一 个 端口 分 别 加 入 到 不 同 的 VLAN 中 ， 这 在 交换 机 与 共享 式 HUB (集线器 ) 共 
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存 的 环境 中 显得 很 重要 。 自 动 配置 VLAN 时 ， 交 换 机 中 软件 自动 检查 进入 交换 机 端口 的 广播 
信息 的 下 源 地址 ， 然 后 软件 自动 将 这 个 端口 分 配给 一 个 由 他 子 网 映射 的 其 他 VLAN。 


六 5. 按 用 户 要 求 VLAN 技术 -| 


基于 用 户 定义 划分 VLAN 是 指 根据 具体 的 网 络 用 户 的 特别 要 求 来 定义 和 设计 VLAN， 而 
且 可 以 让 非 VLAN 群体 用 户 访问 该 VLAN, 但 是 需要 提供 用 户 名 和 密码 ， 在 得 到 VLAN 管理 os 
的 认证 后 才 可 加 入 VLAN 中 。 

综合 所 述 ， 基 于 端口 的 VLAN 端口 划分 方式 建立 在 物理 层 上 ; MAC 地 址 划分 VLAN 端 
口 方式 建立 在 数据 链 路 层 ， 网 络 层 和 IP 组 播 方式 则 建立 在 网 络 层 上 。 其 中 最 常用 到 的 划分 方 
式 有 基于 端口 (静态 VLAN) 和 MAC 地 址 (动态 VLAN) 这 两 种 。 


7.3 ”基于 端口 的 认证 安全 


基于 端口 的 网 络 接 入 控制 (Port Based Network Access Control) 是 指 在 局 域 网 接 入 设备 的 
端口 ， 对 所 接 入 的 设备 进行 认证 和 控制 。 如 果 连 接 到 端口 上 的 设备 能 够 通过 认证 ， 则 端口 就 
被 开放 ， 终 端 设 备 就 被 允许 访问 局 域 网 中 的 资源 ， 相 反 ， 则 端口 就 相当 于 被 关闭 ， 终 端 设备 
将 无 法 访问 局 域 网 中 的 资源 。802.1x 协议 就 是 一 种 基于 端口 的 网 络 接 入 的 协议 。 


7.3.1 IEEE 802.1x 认证 介绍 


IEEE 802.1x 协议 是 基于 客户 端 /服务 器 的 访问 控制 和 认证 协议 , 它 可 以 限制 未 经 授权 的 用 
户 / 设 备 通过 接 入 端口 《Access Port) 访问 局 域 网 或 广域网 。 在 获得 交换 机 或 局 域 网 提供 的 各 
种 业务 之 前 ，802.1x 对 连接 到 交换 机 端口 上 的 用 户 /设备 进行 认证 , 且 在 认证 通过 之 前 , 802.1x 
只 允许 EAPoL (基于 局 域 网 的 扩展 认证 协议 ) 数据 通过 设备 连接 的 交换 机 端口 ， 认 证 通过 之 
后 ， 正 常 的 数据 才 可 以 顺利 地 通过 以 太 网 端口 。 

在 访问 控制 流程 中 ， 网 络 访问 技术 的 核心 部 分 端口 访问 实体 PAE) 包含 认证 者 (对 接 
入 的 用 户 /设备 进行 认证 的 端口 )、 请 求 者 (被 认证 的 用 户 /设备 ) 和 认证 服务 器 (根据 认证 者 
的 信息 ， 对 请 求 访问 网 络 资源 的 用 户 / 设 备 进行 实际 认证 功能 的 设备 ) 3 个 部 分 。 

以 太 网 的 每 个 物理 端口 被 分 为 受 控 和 不 受 控 的 两 个 逻辑 端口 ， 物 理 端口 收 到 的 每 个 帧 都 
被 送 到 受 控 和 不 受 控 端 口 。 其 中 ， 不 受 控 端口 始终 处 于 双向 连通 状态 ， 主 要 用 于 传输 认证 信 
息 。 而 受 控 端口 的 连通 或 断 开 是 由 该 端口 的 授权 状态 决定 的 。 认 证 者 的 PAE 根据 认证 服务 器 
认证 过 程 的 结果 ， 控 制 “ 受 控 端 口 ” 的 授权 或 未 授权 状态 。 处 在 未 授权 状态 的 控制 端口 将 拒 
绝 用 户 或 设备 的 访问 。 受 控 端 口 与 不 受 控 端 口 的 划分 ， 分 离 了 认证 数据 和 业务 数据 ， 提 高 了 
系统 的 接 入 管理 和 接 入 服务 的 工作 效率 。 


1. IEEE 802.1x 认证 特点 | 


基于 以 太 网 端口 认证 的 802.1x 协议 的 特点 包括 的 IEEE 802.1x 协议 为 二 层 协议 ， 不 需要 
到 达 三 层 ,对 设备 的 整体 性 能 要 求 不 高 ,可 以 有 效 降低 构建 网 络 的 成 本 ; 借用 了 在 RAS(Remote 


Access Service， 远 程 访问 服务 ) 系统 中 常用 的 EAP (扩展 认证 协议 )， 可 以 提供 良好 的 扩展 性 
和 适应 性 ， 实 现 对 传统 PPP 认证 架构 的 兼容 ;802.1x 的 认证 体系 结构 中 采用 了 “可 控 端 口 ” 
和 “不 可 控 端 口 ”的 逻辑 功能 ， 从 而 实现 业务 与 认证 的 分 离 ， 由 RADIUS 认证 服务 器 和 交换 
机 利用 不 可 控 的 逻辑 端口 共同 完成 对 用 户 的 认证 与 控制 ， 业 务 报 文 直接 承载 在 正常 的 二 层 报 
文 上 通过 可 控 端 口 进行 交换 ， 通 过 认证 之 后 的 数据 包 是 无 需 封 装 的 纯 数据 包 ; 可 以 使 用 现 有 
的 后 台 认 证 系统 降低 部 署 的 成 本 ， 并 有 丰富 的 业务 支持 ， 可 以 映射 不 同 的 用 户 认 证 等 级 到 不 
同 的 VLAN; 可 以 使 交换 端口 和 无 线 局 域 网 具有 安全 的 认证 接 入 功能 。 


因 IEEE 802.1x 协议 是 基于 客户 端 /服务 器 的 访问 控制 和 认证 协议 ， 所 以 其 工作 过 程 也 就 
是 客户 端 提供 认证 信息 并 由 服务 器 进行 认证 的 过 程 。 具 体 可 分 为 以 下 步 又。 

口 当 用 户 有 上 网 需求 时 ， 打 开 802.1x 客户 端 程序 ， 并 输入 已 经 申请 、 登 记过 的 用 户 名 和 
口令 ， 发 起 连接 请 求 。 此 时 ， 客 户 端 程序 将 发 出 请 求 认证 的 报 文 给 交换 机 ， 开 始 启动 
一 次 认证 过 程 。 

口 交换 机 收 到 请 求 认证 的 数据 帧 后 ， 将 发 出 一 个 请 求 帧 要 求 用 户 的 客户 端 程序 将 输入 的 
用 户 名 传送 给 自己 。 

口 客户 端 程序 响应 交换 机 发 出 的 请 求 ， 将 用 户 名 信息 通过 数据 帧 送 给 交换 机 。 交 换 机 将 
客户 端 传 来 的 数据 帧 ， 经 过 封包 处 理 后 送 给 认证 服务 器 进行 处 理 。 

口 认证 服务 器 收 到 交换 机 转发 的 用 户 名 信息 后 ,将 该 信息 与 数据 库 中 的 用 户 名 表 相 比 对 ， 
找到 该 用 户 名 对 应 的 口令 信息 ， 用 随机 生成 的 一 个 加 密 字段 对 它 进行 加 密 处 理 ， 同 时 
也 将 此 加 密 字 传 送 给 交换 机 ， 由 交换 机 传 给 客户 端 程序 。 

口 客户 端 程序 收 到 由 交换 机 传 来 的 加 密 字段 后 ， 用 该 加 密 字段 对 口令 部 分 进行 加 密 处 理 
(此 种 加 密 算 法 通常 是 不 可 逆 的 ) ， 并 通过 交换 机 传 给 认证 服务 器 。 

口 认证 服务 器 将 传送 来 的 加 密 后 的 口令 信息 和 其 经 过 加 密 运算 后 的 口令 信息 进行 对 比 
如 果 相同 ， 则 认为 该 用 户 为 合法 用 户 ， 反 馈 认证 通过 的 消息 ， 并 向 交换 机 发 出 打开 端 
口 的 指令 ， 允 许 用 户 的 业务 流通 过 端口 访问 网 络 。 否 则 ， 反 馈 认证 失败 的 消息 ， 并 保 
持 交 换 机 端口 的 关闭 状态 ， 只 允许 认证 信息 数据 通过 而 不 允许 业务 数据 通过 。 


EAPoL 是 IEEE 802.1x 标准 定义 的 一 种 报 文 封装 格式 ， 如 图 7-6 所 示 , 主要 用 于 客户 端 和 
交换 机 之 间 ， 它 使 交互 的 EAP 协议 报 文 能 够 在 局 域 网 协议 上 传输 。 


图 7-6 ”EAPoL 报 文 格式 


口 Ethernet Type， 以 太 网 帧 头 中 的 以 太 网 类 型 。 对 于 IEEE 802.1x 报 文 ， 协 议 类 型 为 
Ox888E. 

口 Version 发 送 方 支持 的 协议 版 本 号 。 

口 Type 表示 802.1x 报 文 的 类 型 。00 为 EAP-Packet， 表 示 认 证 信息 帧 ， 用 于 承载 认证 信 


息 ; 01 为 Start， 即 EAP-Start， 表 示 发 起 802.1x 认证 ; 02 为 EAP-Logoff， 表 示 退 出 认 
证 ; 03 为 EAP-Key， 表 示 密 钥 信 息 帧 ; 04 为 Encapsulated ASP Alert， 用 于 支持 ASF 
(Alerting Standards Forum ) 的 Alerting 信息 。 
口 Length 表示 Date 字段 的 长 度 。 如 果 为 0， 代表 Date 字段 不 存在 任何 数据 。 
口 Date 根据 不 同 的 Type 有 不 同 的 格式 。 
当 EAPoL 数据 包 中 的 Type 字段 为 EAP-Packet (00) 时 ，EAPoL 中 的 Date 字段 为 EAP 
数据 包 ， 格 式 如 图 7-7 所 示 。 


图 7-7 EAP 报 文 格式 


Code 表示 EAP 报 文 的 类 型 ， 包 括 Request、Response、Success、Failure。 

Identifier 进行 Request 与 Response 消息 的 匹配 。 

Length EAP 报 文 的 长 度 ， 包 括 Code、Identifier、Length、Date。 

Date 由 Code 字段 决定 。Success 与 Failure 类 型 的 报 文 不 存在 Date 字段 ; Request 与 

Response 类 型 的 报 文 存在 Date 字段 ， 且 Date 字段 中 包括 Type 与 Type Date 字段 。 

口 Type 表示 EAP 的 认证 类 型 。1 代表 Identity， 用 于 查询 身份 ; 4 代表 MD5 Challenge， 
包含 挑战 信息 。 

口 Type Date 根据 不 同 Type 的 Request 和 Response 而 定 。 


802.1x 认证 使 用 了 多 个 定时 器 ， 以 保证 认证 过 程 的 正常 进行 以 及 认证 组 件 间 的 故障 检 
测 等 。 

口 安静 定时 器 (quiet-period) 

当 客 户 端 认证 失败 后 ， 交 换 机 需要 等 待 一 段 时 间 默认 为 60 秒 ) 才 会 再 处 理 客户 端的 认 
证 请 求 ， 这 段 时 间 即 为 quiet-period。 此 定时 器 主要 用 于 防止 用 户 频繁 地 对 交换 机 发 送 认 证 请 
求 而 对 交换 机 造成 的 威胁 。 

口 重新 认证 定时 器 (re-authperiod) 

用 户 通过 认证 后 ,交换 机 可 以 主动 请 求 客户 端 进行 重 认证 。re-authperiod 表示 请 求 客户 端 
重 认证 的 时 间 间 隔 〈 默 认为 30 秒 )。 重 认证 机 制 主要 用 于 检测 用 户 是 否 还 在 线 ， 使 计 费 更 加 
正确 ， 而 且 可 以 防止 非法 用 户 的 冒 用 。 

口 服务 器 超时 定时 器 (server-timeout) 

认证 服务 器 (RADIUS) 的 最 大 响应 时 间 (默认 为 60 秒 )。 如 果 在 该 时 间 间 隔 内 ， 服 务 器 
没有 对 交换 机 发 送 的 认证 请 求 进行 响应 ， 交 换 机 重 发 认证 请 求 。 

口 客户 端 超时 定时 器 (supp-timeout) 

该 计时 器 表示 当 交 换 机 向 客户 端 发 送 EAP-Request 或 MD5 Challenge 报 文 请 求 MD5 散 列 
值 后 ， 等 待 客户 端 响应 的 时 间 〈 默 认为 30 秒 )。 


OOO DO 


口 发 送 超时 定时 器 (tx-period) 

当 客 户 端 发 起 认证 过 程 后 , 交换 机 需 向 客户 发 送 EAP-Request 或 Identity 请求 客户 端 发 送 
用 户 名 信息 ， 此 时 交换 机 启动 tx-period 定时 器 (默认 为 5 秒 )。 若 该 定时 器 超时 前 客户 端 没有 
响应 EAP-Request 或 Identity 报 文 ， 交 换 机 将 重 发 请 求 报 文 。 


综合 IEEE 802.1x 的 特点 和 工作 过 程 分 析 ， 它 较为 适应 的 网 络 环境 有 以 下 两 种 。 

口 交换 式 以 太 网 络 环境 

对 于 交换 式 以 太 网 络 中 ， 用 户 和 网 络 之 间 采 用 点 到 点 的 物理 连接 ， 用 户 彼此 之 间 通 过 
VLAN 隔离 ， 此 网 络 环境 下 ， 网 络 管理 控制 的 关键 是 用 户 接 入 控制 ，802.1x 不 需要 提供 过 多 
的 安全 机 制 。 

口 共享 式 网 络 环境 

当 802.1x 应 用 于 共享 式 的 网 络 环境 时 ,为 了 防止 在 共享 式 的 网 络 环境 中 出 现 类 似 “ 搭 载 ” 
的 问题 ， 有 必要 将 PAE 实体 由 物理 端口 进一步 扩展 为 多 个 互相 独立 的 逻辑 端口 。 逻 辑 端口 和 
用 户 或 设备 形成 一 一 对 应 关系 ， 并 且 各 逻辑 端口 之 间 的 认证 过 程 和 结果 相互 独立 。 在 共享 式 
网 络 中 ， 用 户 之 间 共 享 接 入 物理 媒介 ， 接 入 网 络 的 管理 控制 必须 兼顾 用 户 接 入 控制 和 用 户 数 
据 安全 ， 可 以 采用 的 安全 措施 是 对 EAPoL 和 用 户 的 其 他 数据 进行 加 密封 装 。 在 实际 网 络 环 境 
中 ， 可 以 通过 加 速 WEP 密 钥 重 分 配 周 期 ， 弥 补 WEP (Wired Equivalent Privacy 加 密 技术 ， 源 
自 于 RSA 数据 加 密 技 术 ， 以 满足 用 户 更 高 层次 的 网 络 安全 需求 ) 静态 分 配 秘 钥 导 致 的 安全 性 
的 缺陷 。 


802.1x 协议 中 ,有 关 安 全 性 的 问题 一 直 是 802.1x 反对 者 攻击 的 重点 ,但 通过 802.1x 与 EAP 
的 结合 使 用 ， 可 以 提供 灵活 、 多 样 的 认证 解决 方案 。 综 合 IEEE 802.1x 的 技术 特点 ， 它 具有 的 
优势 可 概括 为 以 下 几 点 。 

口 简洁 高 效 

纯 以 太 网 技术 内 核 ， 保 持 了 IP 网 络 无 连接 特性 ， 不 需要 进行 协议 间 的 多 层 封装 ， 去 除了 
不 必要 的 开销 和 宛 余 ;消除 网 络 认 证 计 费 瓶颈 和 单 点 故障 ， 易 于 支持 多 业务 和 新 兴 流 媒体 
业务 。 

口 容易 实现 

可 在 普通 L3、L2、IPDSLAM 上 实现 ， 网 络 综合 造价 成 本 低 ， 保 留 了 传统 AAA 认证 的 网 
络 架构 ， 可 以 利用 现 有 的 RADIUS 设备 。 

口 安全 可 靠 

在 二 层 网 络 上 实现 用 户 认证 ， 结 合 MAC、 端 口 、 账 户 、VLAN 和 密码 等 ; 绑 定 技术 具有 
很 高 的 安全 性 ， 在 无 线 局 域 网 网 络 环境 中 802.1x 结合 EAP 一 TLS，EAP 一 TTLS， 可 以 实现 对 
WEP 证 书 密 钥 的 动态 分 配 ， 克 服 无 线 局 域 网 接 入 中 的 安全 漏洞 。 

口 应 用 灵活 

可 以 灵活 控制 认证 的 精确 度 , 用 于 对 单个 用 户 连 接 、 用 户 ID 或 者 是 对 接 入 设备 进行 认证 ， 
认证 的 层次 可 以 进行 灵活 的 组 合 ， 满 足 特定 的 接 入 技术 或 者 是 业务 的 需要 。 


口 易于 运营 

控制 流 和 业务 流 完全 分 离 ， 易 于 实现 跨 平 台 多 业务 运营 ， 少 量 改 造 传统 包月 制 等 单一 收 
费 制 网 络 即 可 升级 成 运营 级 网 络 ， 而 且 网 络 的 运营 成 本 也 有 望 降低 。 

IEEE 802.1x 协议 具有 完备 的 用 户 认 证 、 管 理 功能 ， 可 以 很 好 地 支撑 宽带 网 络 的 计 费 、 安 
全 、 运 营 和 管理 要 求 ， 对 宽带 IP 城 域 网 等 电信 级 网 络 的 运营 和 管理 具有 极 大 的 优势 。IEEE 
802.1x 协议 对 认证 方式 和 认证 体系 结构 上 进行 了 优化 ， 解 决 了 传统 PPPOE (一 种 局 域 网 连接 
方式 ) 和 Web/PORTAL 认证 方式 带 来 的 问题 ， 更 加 适合 在 宽带 以 太 网 中 的 使 用 。 


7.3.2 配置 IEEE 802.1x 认证 


根据 IEEE 802.1x 认证 的 原理 和 工作 过 程 的 需要 ， 在 对 其 进行 配置 时 可 分 为 AAA 与 
RADIUS 配置 和 启用 IEEE 802.1x 认证 两 个 阶段 。 


在 交换 机 上 ， 由 于 IEEE 802.1x 的 实现 是 基于 AAA (Authentication、Authorization、 
Accounting， 认 证 、 授 权 、 计 费 ) 的 ， 所 以 在 启用 IEEE 802.1x 认证 之 前 需 先 启用 AAA 功能 。 
其 语法 格式 如 下 所 示 。 


AAA 是 一 个 提供 网 络 访问 控制 安全 的 模型 ， 通 常用 于 用 户 登 录 设 备 或 接 
入 网 络 。AAA 以 模块 方式 提供 了 对 认证 、 授 权 和 计 费 功能 的 一 致 性 框架 ， 


Anuthentication 认证 模块 可 验证 用 户 是 否 可 获得 访问 权 ; Authorization 授权 模 
块 能 够 定义 用 户 可 使 用 哪些 服务 或 权限 ; Accounting 计 费 模块 可 记录 用 户 使 用 
网 络 资源 的 情况 。 


交换 机 上 需要 将 IEEE 802.1x 认证 请 求 发 送 到 特定 的 RADIUS 认证 服务 器 来 进行 身份 验 
证 ， 但 在 配置 交换 机 与 RADIUS 认证 服务 器 通信 之 前 ， 需 要 为 RADIUS 认证 服务 器 配置 一 个 
卫 地 址 ， 其 语法 格式 如 下 所 示 。 


口 auth-port 代表 配置 RADIUS 认证 服务 器 的 认证 和 授权 端口 号 。 默 认 情 况 下 ， 其 端口 号 
为 UDP 1812。 

口 acct-port 代表 配置 RADIUS 认证 服务 器 的 计 费 端口 号 。 默 认 情况 下 ， 其 端口 号 为 UDP 
1813。 


一 些 较 老 的 RADIUS 认证 服务 器 实现 是 使 用 UDP 1645 和 1646 作为 认证 授权 
和 计 费 端口 ， 需 要 根据 实际 情况 配置 正确 的 端口 号 。 


还 可 以 使 用 此 命令 添加 多 个 RADIUS 认证 服务 器 , 当 一 个 RADIUS 认证 服务 器 不 可 用 时 ， 
交换 机 将 按照 配置 的 顺序 进行 查找 ， 来 使 用 下 一 个 配置 的 RADIUS 认证 服务 器 。 

另外 ， 认 证 过 程 中 若 要 使 交换 机 与 RADIUS 认证 服务 器 之 间 能 够 正常 工作 ， 还 需 配置 
RADIUS 服务 器 认证 密 钥 ， 用 来 提供 交换 机 与 RADIUS 认证 服务 器 之 间 通 信 的 安全 性 。 其 语 
法 格式 如 下 所 示 。 


该 命令 中 设置 的 密 钥 必 须 与 RADIUS 认证 服务 器 中 设置 的 密 钥 相 匹配 ， 否 则 RADIUS 服 
务 器 将 丢弃 认证 报 文 。 

然后 ， 需 要 在 交换 机 上 配置 IEEE 802.1x 的 认证 列表 ， 列 表 中 包括 使 用 的 认证 方式 ， 如 使 
用 RADIUS 服务 器 或 本 地 认证 等 。 其 语法 格式 为 : 


口 default 代表 定义 默认 的 认证 列表 。 当 没有 指定 IEEE 802.1x 引用 的 特定 验证 列表 时 ， 
交换 机 将 使 用 默认 列表 中 定义 的 参数 进行 验证 。 

口 list-name 代表 创建 并 命名 一 个 新 的 验证 列表 。 

口 method 代表 验证 使 用 的 方法 。 

验证 方法 可 使 用 group radius， 即 使 用 RADIUS 服务 器 进行 验证 ，group group-name 表示 
使 用 RADIUS 服务 器 组 中 的 服务 器 进行 验证 ;local 表示 使 用 本 地 数据 库 中 的 用 户 名 和 密码 进 
行 验证 ;none 表示 无 需 进行 验证 ， 用 户 即 可 通过 。 此 外 ， 一 个 验证 列表 中 可 指定 多 个 验证 方 
式 。 需 要 注意 的 是 ， 当 指定 为 none 后 ， 将 无 法 再 指定 其 他 验证 方式 ，none 通常 用 于 网 络 或 服 
务 不 可 用 时 的 最 后 解决 方案 。 


进行 RADIUS 服务 器 的 相关 配置 后 ， 即 完成 了 IEEE 802.1x 的 准备 配置 工作 。 这 时 ， 就 
可 以 在 交换 机 的 特定 端口 启用 IEEE 802.1x 功能 ， 其 语法 格式 如 下 所 示 。 


当 对 端口 配置 此 命令 后 ， 端 口 将 只 接收 EAPoL 报 文 ， 并 且 只 有 认证 通过 后 ， 端 口才 会 接 
收 其 他 报 文 ， 如 用 户 数据 报 文 。 


在 某 些 较 老 版 本 的 交换 机 上 ， 启 用 IEEE 802.1x 需要 在 全 局 配置 模式 下 执行 
aaa authentication dotlx 命令 ， 且 不 支持 配置 验证 列表 。 


启用 IEEE 802.1x 功能 后 , 默认 情况 下 交换 机 将 使 用 默认 的 验证 列表 (default) 进行 验证 。 
但 还 可 以 在 全 局 配置 模式 下 ， 更 改 EEE 802.1x 认证 所 使 用 的 验证 列表 。 其 语法 格式 为 : 


口 default 代表 使 用 默认 的 验证 列表 。 


口 list-name 代表 使 用 自 定 义 的 验证 列表 ， 此 处 指定 的 验证 列表 名 称 必 须 与 之 前 使 用 aaa 
authentication dotlx list-name 命令 定义 的 名 称 相同 。 
例如 , 在 思科 交换 机 上 , 配置 AAA 及 RADIUS 服务 器 (IP 地 址 为 10.1.1.1、 密 钥 为 12345、 
认证 列表 名 称 为 slkj, 并 采用 RADIUS 服务 器 认证 方式 ), 然后 在 fastethernet 0/1 和 fastethernet 
0/2 端口 启用 IEEE 802.1x 认证 ， 可 进行 如 下 配置 。 


7.3.3 配置 重新 认证 周期 


在 交换 机 上 配置 IEEE 802.1x 过 程 中 ， 可 以 通过 命令 开启 并 配置 设备 对 IEEE 802.1x 用 户 
主动 发 起 的 周期 性 重 认 证 功能 ， 其 取 值 范围 为 1 一 65535。 

端口 启动 了 802.1x 的 周期 性 重 认证 功能 后 ， 设 备 会 根据 周期 性 重 认证 定时 器 设 定 的 时 间 
间隔 ， 定 期 启动 对 该 端口 在 线 802.1x 用 户 的 认证 ， 以 检测 用 户 连 接 状 态 的 变化 ， 更 新 服务 器 
下 发 的 授权 属性 (例如 ACL、VLAN、QoS Profile)， 确 保 用 户 的 正常 在 线 。 

在 思科 交换 机 上 ， 对 重新 认证 周期 功能 开启 和 配置 ， 其 语法 格式 分 别 如 下 所 示 。 


例如 ， 在 交换 机 的 fastethermet1/1 端口 开启 并 设置 其 重 认 证 周期 为 40 秒 ， 可 进行 如 下 
配置 。 


7.3.4 修改 安静 周期 


同样 ， 在 配置 IEEE 802.1x 过 程 中 ， 还 可 以 通过 命令 来 更 改 设备 上 特定 端口 的 安静 周期 ， 
其 取 值 范围 为 1 一 65535 秒 。 当 802.1x 用 户 认 证 失败 以 后 ,设备 需要 静默 一 段 时 间 ， 然 后 再 重 
新 发 起 认证 ， 且 在 安静 周期 内 ， 设 备 不 进行 802.1x 认证 的 相关 处 理 。 

在 交换 机 上 ， 进 行 安静 周期 的 配置 ， 其 语法 格式 如 下 所 示 。 


witch (config-if)#dotlx timeou 


7.4 配置 RMON 


RMON 是 IETF (Internet Engineering Task Force， 互 联网 工程 任务 组 ) 标准 的 监控 规范 ， 
该 规范 能 够 以 网 络 管理 者 身份 交换 对 网 络 的 监控 数据 。 用 户 可 以 配置 并 使 用 交换 机 上 的 
RMON 功能 ， 来 监控 所 有 相连 网 络 中 交换 机 间 数 据 流 的 流动 情况 ， 从 而 更 好 地 保护 设备 及 网 
络 的 安全 。 


7.4.1 默认 的 RMON 配置 


RMON (Remote Network Monitoring) 远 端 网 络 监控 ， 最 初 的 设计 是 用 来 解决 从 一 个 中 心 
点 管理 各 局 域 分 网 和 远程 站 点 的 问题 。RMON 规范 是 由 SNMP (Simple Network Management 
Protocol， 简 单 网 络 管理 协议 ) 中 的 MIB 扩 展 而 来 。RMON 中 ， 网 络 监视 数据 包含 了 一 组 统计 
数据 和 性 能 指标 ， 它 们 在 不 同 的 监视 器 〈 或 称 探 测 器 ) 和 控制 台 系统 之 间 相 互 交 换 。 结 果 数 
据 可 用 来 监控 网 络 利用 率 ， 以 用 于 网 络 规划 ， 人 性 能 优化 和 协助 网 络 错误 诊断 。 

当前 RMON 有 RMON v1 和 RMON v2 两 种 版 本 。RMON v1 在 目前 使 用 较为 广泛 的 网 络 
硬件 中 都 能 发 现 , 它 定义 了 9 个 MIB 组 服务 于 基本 网 络 监 控 ; RMON v2 是 RMON v1 的 扩展 ， 
专注 于 MAC 层 以 上 的 流量 层 ， 它 主要 强调 下 流量 和 应 用 程序 层 流量 。RMON v2 允许 网 络 管 
理应 用 程序 监控 所 有 网 络 层 的 信息 包 ， 这 与 RMON vl 不 同 ， 后 者 只 人 允许 监控 MAC 及 其 以 下 
层 的 信息 包 。 

RMON 监视 系统 由 探测 器 〈 代 理 或 监视 器 ) 和 管理 站 两 部 分 构成 。RMON 代理 在 RMON 
MIB 中 存储 网 络 信息 ， 它 们 被 直接 植 入 网 络 设备 〈 如 路 由 器 、 交 换 机 等 )， 也 可 以 是 计算 机 上 
运行 的 一 个 程序 。 代 理 只 能 看 到 流 经 它们 的 流量 ， 所 以 在 每 个 被 监控 的 LAN 段 或 WAN 链接 


点 都 要 设置 RMON 代理 ， 网 管 工 作 站 用 SNMP 获取 RMON 数据 信息 。 


MIB (Management Information Base, 管理 信息 库 ), 它 是 网 络 管理 数据 的 标准 ， 
在 这 个 标准 中 规定 了 网 络 代理 设备 必须 保存 的 数据 项 目 、 数 据 类 型 及 允许 在 
每 个 数据 项 目 中 的 操作 。 通 过 对 这 些 数据 项 目的 存 取 访 问 ， 可 以 得 到 该 网 关 
的 所 有 统计 内 容 ， 然 后 通过 对 多 个 网 关 统 计 内 容 的 综合 分 析 即 可 实现 基本 的 
网 络 管理 。 


默认 情况 下 ， 交 换 机 支持 RMON 中 的 第 1、2、3、9 组 (统计 组 、 历 史 组 、 警 报 组 、 事 
件 组 ) 的 内 容 ， 且 所 有 RMON 功能 均 被 关闭 。 

口 统计 组 

统计 组 〈Statistics) 是 RMON 中 的 第 1 组 ， 用 于 统计 被 监控 的 每 个 子 网 的 基本 统计 信息 。 
目前 只 能 对 网 络 设备 的 以 太 网 接口 进行 监控 、 统 计 。 

口 历史 组 

历史 组 〈History) 是 RMON 中 的 第 2 组 ， 它 定期 地 收集 统计 网 络 值 的 记录 并 为 日 后 的 处 
理 把 统计 存储 起 来 ， 又 包含 HistoryControl 和 EthernetHistory 两 个 小 组 ，HistoryControl 组 用 来 
设置 采样 间隔 时 间 等 控制 信息 ; EthermetHistory 组 为 管理 员 提 供 有 关 网 段 流量 、 错 误 包 、 广 播 
包 、 利 用 率 以 及 碰撞 次 数 等 其 他 统计 信息 的 历史 数据 。 

口 警报 组 

警报 组 〈Alarm) 是 RMON 中 的 第 3 组 ， 以 指定 的 时 间 间 隔 监控 一 个 特定 的 MIB 对 象 ， 
当 这 个 MIB 对 象 的 值 超过 一 个 设 定 的 上 限 值 或 低 于 一 个 设 定 的 下 限 值 时 ， 会 触发 一 个 警报 。 
警报 被 当 作 事件 来 处 理 ， 处 理事 件 的 方式 可 以 是 记录 日 志 或 发 送 SNMP Trap 的 方式 。 

口 事件 组 

事件 组 (Event) 是 RMON 中 的 第 9 组 ， 决 定 当 由 于 警报 而 产生 事件 时 ， 处 理 行 为 将 产生 
一 个 日 志 记 录 表 项 或 者 一 个 SNMP Trap。 


7.4.2 ”配置 RMON 警报 和 事件 


用 户 可 以 通过 命令 行 或 一 个 SNMP 网 络 管理 工作 站 来 配置 RMON， 不 过 建议 用 户 最 好 使 
用 NMS《〔 网 络 管理 工作 站 ) 上 的 一 般 的 RMON 管理 工具 来 实现 RMON 的 管理 ， 以 便 充 分 利 
用 RMON 的 网 络 管理 功能 。 

在 交换 机 上 ， 配 置 RMON 的 报警 和 事件 功能 ， 可 依次 分 为 设置 针对 一 个 MIB 对 象 的 警 
报 功能 ， 和 当 警报 产生 时 ， 增 加 相应 的 事件 表 项 并 作 相应 的 处 理 两 个 步骤 。 


1 配置 RMON 者 报 


若 要 在 交换 机 上 ， 针 对 一 个 MIB 对 象 设置 RMON 警报 功能 ， 其 语法 格式 分 别 如 下 所 示 。 


口 number 指定 这 个 警报 表 项 的 索引 (编号 )， 其 取 值 范围 为 1~65535。 

口 variable 代表 要 控制 MIB 的 变量 标识 符 ， 这 个 变量 必须 是 整 型 类 数据 类 型 。 

口 interval 指定 采样 的 时 间 间 隔 (单位 为 秒 )， 取 值 范围 为 1~2147483647 秒 。 关 键 字 date 
表示 取样 的 值 ， 是 指 MIB 变量 在 两 次 取样 间 值 的 变化 ; 而 关键 字 absolute 表示 直接 使 
用 MIB 变量 的 值 作 为 取样 值 。 

口 value 指定 警报 触发 的 条 件 。 即 当 MIB 变量 的 值 变化 为 大 于 关键 字 rising-threshold 后 
面 指定 的 value 值 (从 小 于 这 个 值 变 为 大 于 这 个 值 ) 或 变 为 小 于 关键 字 falling-threshold 
后 面 指定 的 value 值 时 。value 后 所 跟 值 的 范围 是 -2147483648~2147483648。 


除了 首次 达到 触发 条 件 外 ， 只 有 同时 跨越 上 限 和 下 限时 才 会 触发 ， 例 如 从 达到 或 
超过 上 限 值 的 位 置 ， 变 化 为 达到 或 低 于 下 限 值 位 置 ， 以 防止 不 停 地 触发 。 
口 event-number 代表 警报 引发 的 事件 产生 时 ， 指 定 事 件 组 产生 事件 表 项 的 索引 ， 若 不 指 


定 则 不 会 产生 相应 的 事件 (可 选 )。 这 个 值 的 取 值 范围 为 1~65535。 
口 string 标识 这 个 警报 表 项 的 拥有 者 ( 可 选 )。 


“2. 配置 RVON 事 件 


在 交换 机 上 配置 RMON 事件 ， 即 当 警报 产生 时 ， 增 加 相应 的 事件 表 项 并 对 这 些 警 报 作 相 
应 的 处 理 ， 其 语法 格式 如 下 所 示 。 


口 number number 代表 这 个 事件 表 项 的 索引 ， 必 须 和 配置 RMON 警报 时 设置 的 
event-number 索引 匹配 。 一 个 警报 产生 时 ， 若 警报 指定 的 event-number 对 应 的 事件 表 
项 不 存在 (number 不 等 于 event-number )， 则 不 会 产生 对 应 的 事件 。 这 个 值 的 范围 为 
1~65535。 
口 log 输入 这 个 关键 值 ， 则 警报 产生 时 ， 会 将 这 个 事件 记录 到 上 日志 中 (可 选 )。 
口 trap 输入 这 个 关键 值 ， 则 警报 产生 时 ， 会 产生 一 个 SNMP Trap ( 可 选 )。 
口 community 发 送 Trap 时 使 用 的 认证 名 (可 选 )。 
口 description string 对 这 个 事件 的 描述 (可 选 )。 
口 owner string ”标志 这 个 事件 的 拥有 者 (可 选 )。 
用 户 可 以 配置 对 任何 一 个 可 统计 的 MIB 变量 的 报警 功能 。 例 如 ， 对 MIB-I 中 IfEntry 表 
中 实例 ifnNUcastPkts.6 (端口 6 上 收 到 的 非 单 播 帧 的 个 数 ， 实 例 的 标识 符 为 
1.3.6.1.2.1.2.2.1.12.6) 设置 报警 功能 。 
具体 实现 功能 是 ， 交 换 机 每 隔 30 秒 检查 端口 6 上 收 到 的 非 单 播 帧 个 数 的 变化 ， 如 果 收 到 
的 非 单 播 帧 个 数 比 上 次 检查 时 (30 秒 前 ) 增加 了 20 个 或 20 个 以 上 , 或 者 比 上 次 只 增加 10 个 
或 10 个 以 下 ， 则 警报 被 触发 ， 同 时 警报 将 触发 事件 1 进行 相应 的 操作 (记录 到 日 志 中 ， 并 发 
送 认证 名 为 “rmon” 的 Trap、 事 件 的 描述 为 “ifInNUcastPkts is too much”); 警报 和 事件 表 项 
的 拥有 者 均 为 “slkj”。 可 进行 如 下 配置 。 


另外 ,在 交换 机 的 全 局 配置 模式 下 ， 可 以 输入 no rmon alarm number 命令 ， 并 按 回 车 键 删 
除 一 个 警报 表 项 ， 同 样 可 输入 no rmon event number 命令 ， 然 后 按 回 车 键 来 删除 一 个 事件 处 理 
表 项 。 


7.4.3 创建 历史 组 表 项 


用 户 可 针对 交换 机 的 端口 创建 历史 组 表 项 〈 只 适用 于 物理 端口 )， 定 期 地 收集 统计 网 络 值 
的 记录 并 为 日 后 的 处 理 把 统计 存储 起 来 。 
在 交换 机 的 物理 端口 ， 创 建 历史 组 表 项 ， 其 语法 格式 如 下 所 示 。 


口 index 指定 这 个 历史 记录 配置 表 项 的 索引 ( 编号 )， 其 取 值 范围 为 1~65535。 
口 owner ownername 标志 这 个 表 项 的 拥有 者 ( 可 选 )。 
口 bucket-number 每 次 采样 的 数据 将 被 保存 下 来 ，bucket-number 的 值 指定 了 保存 每 次 
采样 数据 的 历史 记录 的 最 大 表 项 个 数 。 如 果 历 史记 录 已 满 ， 则 新 的 采样 数据 将 履 盖 最 
老 的 一 次 采样 数据 记录 。 这 个 值 的 范围 是 1~65535， 默 认 值 为 10。 
口 interval 指定 采样 的 时 间 间 隔 (单位 为 秒 )， 其 取 值 范围 为 1~3600， 默 认为 1800 秒 。 
例如 ， 在 交换 机 的 fastethernet1/1 端口 ， 创 建 历史 组 表 项 ， 设 置 其 索引 值 为 40、 拥 有 者 名 
称 为 slkgj、 采 样 数 据 的 历史 记录 最 大 表 项 个 数 为 20、 采 样 的 时 间 间 隔 为 1000 秒 ， 可 进行 如 下 
配置 。 


另外 ， 还 可 以 通过 在 交换 机 的 端口 模式 下 ， 输 入 no rmon collection history index 命令 ， 并 
按 回 车 键 来 删除 一 个 特定 的 历史 组 表 项 。 


7.4.4 创建 RMON 统计 组 表 项 


用 户 还 可 以 针对 设备 的 物理 端口 创建 RMON 统计 表 项 。 当 设置 了 一 个 端口 的 统计 表 项 后 ， 


交换 机 将 从 这 时 开始 各 种 数据 的 统计 。 
在 交换 机 的 物理 端口 上 ， 创 建 RMON 统计 表 项 ， 其 语法 格式 为 : 


口 index 用 于 指定 这 个 统计 表 项 的 索引 (编号 )， 取 值 范围 是 1-65535。 

口 owner ownername 标志 这 个 表 项 的 拥有 者 (可 选 )。 

例如 ， 在 交换 机 的 fastethernet1/1 端口 ， 创 建 RMON 统计 表 项 ， 设 置 其 索引 值 为 30， 拥 
有 者 名 称 为 slkj， 可 进行 如 下 配置 。 


同样 ， 可 以 通过 在 端口 配置 模式 下 ， 输 入 no rmon collection stats index 命令 ， 并 按 回 车 键 
来 删除 一 个 特定 的 统计 表 项 。 


7.4.5 显示 RMON 的 状态 


执行 配置 RMON 警报 和 事件 、 创 建 历史 组 表 项 及 创建 RMON 统计 组 表 项 操作 后 ， 可 在 
交换 机 的 特权 模式 下 ， 通 过 使 用 下 列 的 命令 来 显示 对 交换 机 的 各 种 访问 方式 的 状态 。 


口 show rmon alarms 显示 RMON 警报 表 的 配置 信息 。 

口 show rmon events 显示 RMON 事件 表 的 配置 信息 和 查看 日 志 信 息 。 

口 show rmon history 显示 RMON 历史 表 的 配置 信息 和 显示 采样 的 历史 数据 。 

口 show rmon statistics 显示 RMON 的 统计 信息 。 

例如 ， 在 交换 机 上 利用 show rmon statistics 命令 显示 RMON 的 统计 表 信 息 。 其 操作 及 输 
出 显示 如 下 。 


第 /六 


交换 机 安全 配置 


UndersizePkts:0 
OversizePkts:0 
OversizePkts:1200 
Fragments : 0 

Jabbers : 0 

Collisions : 0 
Pkts640ctets : 128 
Pkts65tol270ctets : 336 
Pkts1l28to2550ctets : 229 
Pkts256to51llOctets : 3 
Pkts512to1l0230ctets : 0 
Pktsl024tol5180ctets : 1200 


Owner : slkj 


7.5 操作 实例 


7.5.1 损人 和 作 袍 他 疏 癌 突 措 读 守 加 


众所周知 交换 机 和 路 由 器 都 需要 有 安全 保证 ， 及 时 配置 合理 的 密码 ， 不 仅 可 以 防止 网 络 


暴力 破解 密码 ， 还 可 以 使 其 得 到 安全 保障 。 
@ 1. 实例 目的 一 
口 下 解密 码 . 
口 重 设 密码 。 
2. 实例 步骤 和 


(1) 将 一 台 计 算 机 的 COM1 和 2950 交换 机 的 “console” 口 相连 接 , 图 7-8 为 结构 拓扑 


(2) 执行 【开始 】I【 程 序 】I【 附 件 】|【 通 讯 】|【 超 级 终端 命令 ,在 弹出 的 对 话 框 的 [名 
称 】 文 本 框 内 输入 名 称 ， 在 【图 标 】 列 表 内 选择 一 个 图 标 。 然 后 ， 单 击 【确定 】 按 钮 ， 如 图 


7-9 所 示 。 


& 


计算 机 
图 7-8 拓扑 图 


图 7-9 输入 名 称 并 选择 图 标 
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(3) 在 【连接 到 】 对 话 框 中 ， 单 击 【连接 时 使 用 】 下 拉 按 钮 ， 选 择 COM1 选项 ,如 图 7-10 
所 示 。 

(4) 在 弹出 的 对 话 框 中 ， 单 击 【还 原 为 默认 值 】 按 钮 ， 然 后 依次 单 击 【应 用 】 和 【确定 】 
按钮 ， 如 图 7-11 所 示 。 


端口 设置 


每 秒 位 数 双 ): [9600 


涩 笑 位 |8 


[2s 青 偶 校 验 E); [无 


输入 待 拔 电 话 的 详细 信息 : 停止 位 G): |1 


ER OE) ©) 

ee 数据 流 控制 呈 ) ;| 无 [a 
电话 号 码 到) 

庄 反 时 全 用力。 | 葬 硬 CE 


= 
亡 枉 ][ 现 ] 


图 7-10 选择 COMI 口 配置 图 7-11 设置 终端 参数 


(5) 拨 掉 交换 机 的 电源 。 
(6) 接 上 电源 ， 按 住 前 面板 的 mode 按钮 不 放 ， 等 3 一 5 秒 后 松 开 mode 按钮 。 可 以 看 到 
如 下 提示 。 


Er 


The system has been interrupted prior to initializing the flash file system. 
The following commands will initialize the flash file system, and finish loading 
the operating system software: 

flash init 

load helper 

boot 


(7) 在 超级 终端 中 输入 flash init 命令 (初始 化 flash 文件 系统 ) ， 并 按 回 车 键 。 
(8) 输入 dir flash: 命令 ， 并 按 回 车 键 。 


四 通过 dir flash 命令 ， 可 以 确认 闪存 内 的 配 文件 名 为 config.text。 a 


(9) 输入 rename flash:config.text flash:config.old 命令 (将 配置 文件 重 命名 ) 按 回 车 键 ， 输 入 
boot 命令 (重启 交换 机 )， 并 按 回 车 键 。 


由 于 修改 了 配置 文件 ， 所 以 交换 机 找 不 到 原配 置 文件 (config.text)， 从 而 出 现 
配置 的 对 话 向 导 ， 选 择 n 然后 回 车 ， 这 样 就 会 绕 过 原来 的 password 而 进入 用 
户 模式 。 


(10) 在 用 户 模式 输入 enable 命令 , 按 回 车 键 进入 特权 模式 , 并 输入 rename flash:config.old 


交换 机 安全 配置 


Hash:config.text〈 复 交换 机 配置 文件 ) 命令 ， 按 回 车 键 。 


(11) 输入 copy flash:config.text system:running-config 命令 (将 原配 置 文件 写 入 内 存 ) ， 并 按 


回 车 键 。 


(12) 在 全 局 配置 模式 下 ， 输 入 no enable secret 命令 (删除 以 前 的 密码 ) ， 并 按 回 车 键 ， 接 


着 输入 enable secret 951753741 命令 ， 并 按 回 车 键 。 


第 /六 


[a enable secret 951753741 设立 新 密码 为 951753741。 


由 


(13) 最 后 输入 exit 命令 ， 按 回 车 键 ， 再 输入 copy run start 命令 ， 并 按 回 


车 键 . 


© 命令 exit 可 以 退出 当前 模式 ，copy run start 是 把 当前 配置 文件 写 入 闪存 。 


7.5.2 和 揭 市 完 何 


澡 为 安 摘 宙 防 也 有 司 司 履 ARP 舱 驴 康夫 


在 交换 机 上 配置 端口 与 计算 机 MAC 地 址 绑 定 ， 可 有 效 防止 ARP 攻击 造成 的 内 网 计算 机 
网 关 欺 骗 和 路 由 器 ARP 表 错 误 。 在 此 ， 使 用 “Cisco Packet Tracer” 进 行 防止 ARP 欺骗 攻击 


的 配置 ， 其 配置 方法 与 真实 环境 相同 。 


@ 1. 实例 目的 司 


口 配置 端口 安全 模式 。 
口 配置 端口 为 接 入 层 端 口 。 
口 交换 机 端口 与 MAC 地 址 绑 定 。 


@ 2. 实例 步骤 ) 


(1) 实验 拓扑 ， 如 图 7-12 所 示 。 


Switch0 


有 一 及 
PC-PT PC-PT 
PC0 PC1 
IP: 10.0.0.1 IP: 10.0.0.2 


MAC: 000D.BD55.4C7D 


图 7-12 实验 拓扑 图 


MAC: 0030.A357.E14B 
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(2) 使 用 图 7-12 说 明 在 华为 交换 机 上 ， 防 止 同 网 段 ARP 欺骗 攻击 的 基本 配置 ， 将 计算 
机 0 的 MAC 地 址 与 Switch0 的 f0/1 端口 绑 定 ， 计 算 机 1 的 MAC 地 址 与 Switch0 的 f0/2 端 
绑 定 。 

(3) 在 Switch0 窗口 CLI 选项 卡 中 ， 按 回 车 键 ， 进 入 用 户 模 式 ， 输 入 enable 命令 ， 按 回 
车 键 ， 进 入 特权 模式 ， 如 图 7-13 所 示 。 

(4) 在 特权 模式 下 输入 configure terminal (进入 全 局 配置 模式 ) 命令 ， 按 回 车 键 ， 如 图 
7-14 所 示 。 


SwitchO 


physical | Config | CLI 


IOS Command Line Interface 


图 7-13 进入 特权 模式 图 7-14 进入 全 局 配置 模式 


(5) 在 全 局 配置 模式 下 ， 输 入 interface f0/1 (进入 f0/1 接口 模式 ) 命令 ， 按 回 车 键 ， 如 图 
7-15 所 示 。 

(6) 在 接口 模式 下 , 输入 switchport mode access (配置 端口 为 接 入 端口 ) 命令 , 按 回 车 键 ， 
如 图 7-16 所 示 。 


physical | config | CUI physica | config | CI 


IOS Command Line Interface IOS Command Line Interface 


图 7-15 进入 接口 模式 图 7-16 配置 端口 为 接 入 端口 


(7) 在 端口 模式 下 输入 switchport port-secruity (进入 端口 安全 模式 ) 命令 ， 按 回 车 键 ， 如 
图 7-17 所 示 。 

(8) 在 端口 安全 模式 下 ,输入 switchport port-security mac-address 000D.BD55.4C7D 命令 ， 
按 回 车 键 ， 如 图 7-18 所 示 。 

(9) 在 该 模式 下 输入 interface f0/2( 进 入 f0/2 接口 模式 ) 命令 ， 按 回 车 键 ， 如 图 7-19 
所 示 。 

(10) 在 接口 模式 下 ,输入 switchport mode access 〈 配 置 端口 为 接 入 端口 ) 命令 ， 按 回 车 


键 ， 如 图 7-20 所 示 。 


Switch0 


Switchg 


Physical | Config 
| IOS Command Line Interface 


suitehtcontig-if)§ 

Sviteh(contig-it) suitehtconfig-if)§ 

Suitchtcontig-10) sucenhtconrig-17) 

sulcehteonrg-1 0 suicchtcontig-ir}s 

suitehteontig-i0) Siceh (oontig-i tI gem 

nt suitchtcontig-if) sitckport port 

suitchtcontig-if)gsvitckport pcrc-securicy 
Suitchtcontig-if) gsitckport port-serurity nac-acdress O00D. EDS5.4 
Suicchtcontig-if)§ 四 


图 7-17 配置 端口 安全 模式 图 7-18 ”10/1 端口 与 MAC 地 址 绑 定 


Fhysical | confg | CU 


Physical | Config 


IOS Command Line Interface IOS Command Line Interface 
Swicchlaontig-i£)g Suicch (contig-1£)s 
Swicchlaontig-i£)g Suitch (contig-1£) 
Swicchlaonr1g-: £)p Suicch teoncig-Le)s 
tech (sontig-: £)ga vechteeatig-iegawiechpoce pece 
Sit eh (oontig-t t)gewitenpore pore Siteh (sontig-Lt) gerit ekpore pore-security 
Switch (contig-: £)fswitehoort porc-security Suitch teomtig-if)8rritchpore port -security mar-addressn00D BDSS 4 
Switch (contig-! £)gsvitehport port-securitr nac-address000D.BDSS. 4 Suitch (sontig-Lt)Sinterface 10/2 
Switch (contig-: £)inter face £0/2 Suitch {sontig-it) sssitcbport node access 
switchlcontig-:) ; Suicch (eontig- 10) 


[CE | 


图 7-19 进入 f0/2 接口 图 7-20 配置 端口 为 接 入 端口 


(11) 在 端口 模式 下 输入 switchport port-security (进入 端口 安全 模式 ) 命令 ， 按 回 车 键 ， 
如 图 7-21 所 示 。 

(12) 在 端口 安全 模式 下 输入 switchport port-security mac-address 0090.0C27.968E 命令 , 按 
回 车 键 ， 如 图 7-22 所 示 。 


Physical | Config _physical | conig jLcu | 


IDS Command Line Interface IOS Commasnd Line Interface 


Sitchteontig-1t)g Switchtccntig-it)$ 2 
suitenteontig-it) Swicchtcntig-12)s 

Bokeehteondig i Suicchtccntig-10)s 

Smitehteontig-it) Sicehlccntig 4) 

Smitehteontig-it) Suvitchlccntig-i)s 

Suitch(eontig-it) sitchport port-securicy Suvitchlccntig-if) switchpert port-securicy 

svitch(contig-i) 诈 Svitchlcontig-it) switchport port-securisy nec-adéress 0090.0C27.9 国 


图 7-21 进入 端口 安全 模式 图 7-22 ”fo/2 端口 与 MAC 地 址 绑 定 


(13) 在 特权 模式 下 ， 输 入 show mac-address table 命令 ， 按 回 车 键 ， 如 图 7-23 所 示 。 
(14) 将 计算 机 PC1 与 f0/1 相连 ，PC0 与 f0/2 相连 ， 网 络 无 法 通信 ， 如 图 7-24 所 示 。 


图 7-24 中 节点 闫 色 若 为 绿色 表示 网 络 可 以 正常 通信 ， 节 点 闫 色 若 为 红色 表示 
网 络 不 能 正常 通信 。 


ooa_hdss 4c7d 。 STATIC ga071 


0030-0cz7-368e 。 STATIC sa0/2 


了 | 


图 7-23 查看 MAC 地 址 表 


F0/2 FO/1 
2950T-24 


Switch0 


人 


5 
PC-PT PC-PT 
PC0 PC1 
IP: 10.0.0.1 1P: 10.0.0.2 
MAC: 000D.BD55.4C7D MAC: 0090.0C27.968E 


图 7-24 ”网 络 不 能 联通 
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随 着 路 由 应 用 的 不 断 增加 ， 路 由 器 将 逐步 成 为 网 络 系 统 中 不 可 缺少 的 重要 部 件 ， 如 果 路 
器 连 自 身 的 安全 都 没有 保障 ， 那 么 整个 网 络 也 就 毫 无 安全 可 言 。 
用 户 对 于 网 络 数据 通信 的 安全 性 提出 了 更 高 的 要 求 ， 诸 如 防范 黑客 攻击 、 控 制 病毒 传播 
等 ， 都 要 求 保证 网 络 用户 通 信 的 相对 安全 性 。 但 可 能 很 多 人 还 不 了 解 如 何 进行 路 由 器 安全 设 
置 ， 才 能 提高 网 络 的 安全 性 。 

因此 在 网 络 安全 管理 上 ， 必 须 对 路 由 器 进行 合理 规划 、 配 置 ， 采 取 必 要 的 安全 保护 措施 ， 
避免 因 路 由 器 自身 的 安全 问题 而 给 整个 网 络 系统 带 来 漏洞 和 风险 。 本 章 介绍 访问 列表 安全 配 
置 、 网 络 地 址 转换 技术 及 网 络 攻击 安全 防范 一 些 加 强 路 由 器 安全 的 措施 和 方法 ， 让 网 络 更 
安全 。 


> 了 解 并 掌握 访问 列表 安全 及 配置 
> 掌握 网 络 地 址 转换 

> 熟悉 网 络 攻击 安全 防范 

> 了 解 使 用 SDM 配置 路 由 器 


8.1 访问 列表 安全 


访问 控制 列表 (Access Control List，ACL) 是 Cisco IOS 提供 的 一 种 访问 控制 技术 ， 被 广 
泛 应 用 于 路 由 器 和 三 层 交 换 机 中 。 其 目的 是 对 网 络 数据 通信 进行 过 滤 ， 从 而 实现 各 种 访问 控 
制 需求 。 

ACL 技术 通过 数据 包 中 源 IP 地 址 、 目 标 人 P 地 址 、 协 议 号 、 源 端口 号 和 目标 端口 号 这 5 
个 元 素来 区 分 特定 的 数据 流 ， 并 对 匹配 预 设 规则 的 数据 采取 相应 的 措施 ， 允 许 (Permit) 或 拒 
绝 (Deny) 数据 通过 ， 从 而 可 以 有 效 地 控制 用 户 对 网 络 和 Internet 的 访问 ， 最 大 限度 地 保障 网 
络 安全 ， 使 得 企业 网 络 不 被 滥用 。 


8.1.1 访问 列表 概述 
ACL 使 用 包 过 滤 技 术 ， 在 路 由 器 上 读 取 网 络 层 及 传输 层 报头 中 的 信息 ， 如 源 地 址 、 目 的 


地 址 、 源 端口 、 目 的 端口 等 ， 根 据 预先 定义 好 的 规则 对 数据 包 进 行 过 滤 ， 从 而 达到 访问 控制 
的 目的 。 


不 过 ， 由 于 ACL 是 通过 利用 包 过 滤 技 术 来 实现 的 ， 过 滤 的 依据 又 仅仅 是 网 络 层 和 传输 层 
报头 中 的 部 分 信息 ， 因 此 这 种 技术 具有 一 些 固 有 的 局 限 性 ， 如 无 法 识别 到 具体 的 用 户 或 应 用 
到 内 部 的 权限 类 别 等 。 所 以 ， 要 达到 “ 端 到 端 ”( 传 输 层 之 间 通 信 ) 的 权限 控制 目的 ， 则 需要 
和 系统 级 及 应 用 级 的 访问 权限 控制 结合 使 用 。 


通常 , 应 用 在 路 由 器 上 的 ACL 包括 人’ 访问 列表 、MAC 访问 列表 、 时 间 访 问 列 表 和 VLAN 
访问 列表 等 , 而 在 卫 访问 列表 中 , 又 可 细 分 为 标准 他 访问 列表 、 扩 展 他 访问 列表 、VLAN ACL 
和 命名 ACL 四 部 分 。 

口 卫 访问 列表 

过 滤 下 通信 ,包括 TCP、User Datagram Protocol(UDP)、Internet Group Management Protocol 
(IGMP) 和 Internet Control Message Protocol (ICMP )。 

口 MAC 访问 列表 

对 进入 二 层 接口 的 通信 实施 访问 控制 ， 也 称 为 端口 访问 列表 。 

口 时 间 ACL 

基于 不 同时 间 段 对 网 络 实施 控制 。 
口 VLAN 访问 列表 
对 所 有 数据 包 实现 访问 控制 。 在 同一 VLAN 的 设备 之 间 , 可 以 采用 VLAN ACL 实施 访问 
控制 。 它 与 访问 控制 均 基于 IP 地 址 ， 不 支持 基于 MAC 地 址 的 访问 控制 。 
口 标准 IP 访问 控制 列表 

标准 访问 列表 只 允许 过 滤 源 地 址 ， 且 功能 十 分 有 限 。 当 要 想 阻 止 来 自 某 一 网 络 的 所 有 通 
信 流 量 ， 或 者 允许 来 自 某 一 特定 网 络 的 所 有 通信 流量 ， 或 者 想 要 拒绝 某 一 协议 簇 的 所 有 通信 
流量 时 ， 可 以 使 用 标准 访问 控制 列表 来 实现 这 一 目标 。 标 准 访问 控制 列表 检查 路 由 的 数据 包 
的 源 地 址 ， 从 而 允许 或 拒绝 基于 网 络 、 子 网 或 主机 的 人 地 址 的 所 有 通信 流量 通过 路 由 器 的 
出 口 。 

口 扩展 了 P 访问 控制 列表 

扩展 访问 列表 允许 过 滤 源 地 址 、 目 的 地 址 和 上 层 应 用 数据 ， 因 此 ， 可 以 适应 各 种 复杂 的 
网 络 应 用 。 扩 展 访问 控制 列表 ， 不 仅 可 以 检查 数据 包 的 源 地 址 、 检 查 数据 包 的 目的 地 址 ， 还 
可 检查 数据 包 的 特定 协议 类 型 、 端 口号 等 。 扩 展 访问 控制 列表 更 具有 灵活 性 和 可 扩充 性 ， 即 
可 以 对 同一 地 址 允许 使 用 某 些 协议 通信 流量 通过 ， 而 拒绝 使 用 其 他 协议 的 流量 通过 。 

口 命名 访问 控制 列表 

在 标准 与 扩展 访问 控制 列表 中 均 需 要 使 用 列表 编号 ， 而 在 命名 访问 控制 列表 中 ， 使 用 一 
个 字母 或 数字 组 合 的 字符 串 来 代替 前 面 所 使 用 的 数字 。 使 用 命名 访问 控制 列表 ， 可 以 用 来 删 
除 某 一 条 特定 的 控制 条 目 。 这 样 ， 可 以 在 使 用 过 程 中 方便 地 对 访问 列表 进行 修改 。 


全 2， 配置 访问 列表 应 注意 的 问题 


配置 访问 列表 时 ， 应 对 配置 列表 需要 遵循 的 原则 、 列 表 被 处 理 的 顺序 、 列 表 存放 的 位 置 
及 列表 应 用 等 方面 作 相 关 了 解 。 


口 遵循 最 小 特权 原则 
在 设置 访问 列表 时 ， 应 当 遵 循 最 小 特权 原则 ， 即 只 给 受 控 对 象 完成 任务 所 必须 的 最 小 的 
权限 ， 从 而 最 大 限度 地 保障 网 络 传输 安全 。 最 小 特权 〈Least Privilege) 是 指 在 完成 某 种 操作 
时 所 赋予 网 络 中 每 个 主体 (用 户 或 进程 》 必 不 可 少 的 特权 。 最 小 特权 原则 是 指 应 限定 网 络 中 
每 个 主体 所 必须 的 最 小 特权 ， 确 保 可 能 发 生 的 事故 、 错 误 、 网 络 部 件 的 算 改 等 原因 造成 的 损 
失 最 小 。 最 小 特权 原则 一 方面 给 予 主体 必 不 可 少 的 特权 ， 保 证 所 有 的 主体 都 能 在 所 赋予 的 权 
限 内 完成 自己 的 任务 或 操作 ; 另 一 方面 ， 只 给 予 主体 必 不 可 少 的 特权 ， 从 而 限制 每 个 主体 所 
能 进行 的 操作 ， 以 确保 企业 网 络 安全 。 
口 自 上 而 下 的 处 理 过 程 
在 访问 列表 中 ， 包 含 一 个 访问 控制 条 目 (Access Control Entry，ACE) 规则 列表 ， 每 个 
ACE 都 指定 “permit”( 人 允许 ) 或 “deny”( 拒 绝 ) 及 应 用 条 件 ， 数 据 包 会 逐个 条 目 顺序 匹配 
ACE。 访 问 列表 内 ， 表 项 的 检测 按 自 上 而 下 的 顺序 进行 ， 且 从 第 一 个 表 项 开始 。 这 意味 着 必 
须 特 别 谨慎 地 考虑 访问 列表 中 语句 的 顺序 。 
> 添加 表 项 ”新 增加 的 表 项 被 追加 到 访问 列表 末尾 ， 这 将 决定 不 能 改变 已 有 的 访问 
列表 的 功能 。 如 果 要 改变 ， 就 必须 创建 一 个 新 的 访问 列表 ， 并 删除 已 经 存在 的 访 
问 列表 ， 然 后 将 新 的 访问 列表 应 用 于 接口 上 。 
> 标准 访问 列表 过 滤 ”标准 访问 列表 只 限于 过 滤 源 地 址 。 因 此 ， 通 常 需 要 使 用 扩展 
的 全 访问 列表 来 满足 企业 的 特殊 需求 。 
> 访问 列表 位 置 ” 应 当 将 扩展 访问 列表 尽量 放 在 靠近 过 滤 源 的 位 置 上 ， 这 样 创建 的 
过 滤器 就 不 会 反 过 来 影响 其 他 接口 上 的 数据 流 。 而 标准 访问 列表 则 应 当 尽量 靠近 
目的 位 置 ， 由 于 标准 访问 列表 只 使 用 源 地 址 ， 因 此 将 阻止 报 文 流向 其 他 端口 。 
> 语句 的 位 置 ”由 于 卫 协议 包含 ICMP、TCP 和 UDP， 所 以 ， 应 当 将 有 具体 的 表 项 放 
在 不 太 有 具体 的 表 项 前 面 ， 保 证 更 加 准确 进行 数据 的 筛选 。 
> 访问 列表 应 用 使 用 Access-group 命令 应 用 访问 列表 ， 但 需要 注意 的 是 ， 只 有 访 
问 列 表 被 应 用 于 接口 上 时 ， 才 执行 过 滤 操 作 ， 从 而 真正 产生 作用 。 
> 过 滤 方 向 通过 接口 的 数据 流 是 双向 的 。 过 滤 方 向 定义 了 想 要 检查 的 是 流入 还 是 
流出 的 报 文 。 所 以 ,访问 列 表 要 应 用 到 接口 的 特定 方向 上 。 向 外 的 ( Outbound )， 
表示 数据 流 从 三 层 设备 流出 ; 向 内 的 (Inbound )， 表 示 数 据 流 流向 三 层 设备 。 


口 分 析 需 求 , 找 出 需求 中 要 保护 什么 或 控制 什么 ( 为 方便 配置 , 最 好 能 以 表格 形式 列 出 )。 
口 编写 ACL 规则 。 
口 根据 需求 与 网 络 结构 ， 将 规则 应 用 于 路 由 器 或 交换 机 的 特定 接口 上 。 


8.1.2 ”IP 访问 列表 


针对 人 P 访问 列表 过 滤 对 象 和 配置 元 素 的 不 同 ， 可 将 其 分 为 标准 人 P 访问 列表 、 扩 展 下 访 
问 列表 及 名 称 ACL3 种 类 型 。 


标准 人 P 访问 列表 中 ， 对 数据 的 检查 元 素 仅 是 源 IP 地 址 。 图 8-1 所 示 为 基于 标准 人 P 访问 
列表 进行 数据 包 过 滤 的 网 络 结构 , 在 该 例 中 ,要 求 172.16.1.0 网 段 的 计算 机 不 可 以 访问 服务 器 
172.17.1.1， 而 其 他 计算 机 访问 该 服务 器 时 则 不 受 限 制 〈 需 求 分 析 )。 


路 由 器 


服务 器 
172.16.1.0/24 172.16.1.1 


172.16.2.0/24 


8-1 标准 他 访问 列表 
明确 该 实例 网 络 需求 后 , 则 可 依据 该 需求 编写 标准 卫 访问 列表 规则 。 其 配置 命 如 下 所 示 。 


口 access-list-number 所 创建 的 标准 ACL 编号 ， 其 范围 是 1~99 和 1300~1999。 
口 permitldeny 对 匹配 此 规则 的 数据 包 采 取 的 措施 ，permit 表示 允许 数据 包 通过 ，deny 
表示 拒绝 数据 包 通过 。 
口 any any 表示 任何 源 地 址 。 
口 source ”需要 检测 的 源 了 地址 或 网 段 , 如 在 本 例 中 ,检测 的 源 瑟 地 址 网 段 为 172.16.1.0。 
口 source-wildcard source-wildcard 表示 与 需要 检测 的 源 人 P 地 址 匹配 的 反 向 子 网 掩 码 。 
这 里 需要 注意 的 是 ， 此 处 是 反 掩 码 ， 例 如 需要 检测 的 源 人 P 地 址 网 段 为 172.16.1.0， 相 
对 应 的 反 掩 码 为 0.0.0.255， 反 掩 码 也 称 为 通配符 ， 和 子 网 掩 码 相反 。 这 里 ， 转 化 为 二 
进 制 后， 为 0 的 项 是 需要 匹配 的 项 ， 为 1 的 项 是 不 需要 匹配 的 项 。 
口 time-range time-range-name 规则 生效 的 时 间 范 围 ， 并 指定 时 间 范 围 的 名 称 。 
在 本 例 中 ， 只 需要 过 滤 源 卫 地 址 属于 172.16.1.0 网 段 的 数据 ， 因 此 源 他 地址 的 前 3 个 字 
段 为 需要 检测 的 字段 ，ACL 规则 如 下 所 示 : 


在 配置 ACL 时 需要 注意 的 是 ，ACL 中 ， 默 认 的 规则 是 拒绝 所 有 。 也 就 是 说 ， 在 上 述 访问 
列表 中 只 有 一 条 拒绝 172.16.1.0 网 段 的 规则 ， 但 实际 在 该 规则 后 还 有 一 条 隐 含 的 规则 : 
access-list deny any。ACL 的 检查 原则 是 自 上 而 下 ， 逐 条 匹配 ， 一 旦 匹配 成 功 就 执行 动作 ， 若 
访问 列表 中 的 所 有 规则 都 不 匹配 ， 则 执行 默认 规则 “拒绝 所 有 ”。 例 如 ， 本 例 中 的 访问 列表 规 
则 将 拒绝 所 有 的 数据 流量 ， 所 以 编写 访问 列表 规则 的 时 候 ， 一 定 要 注意 最 后 的 默认 “拒绝 所 
有 ”规则 。 在 本 例 中 ， 可 以 在 拒绝 的 规则 后 加 上 一 条 规则 。 


编写 好 的 访问 控制 列表 需要 应 用 到 相应 的 端口 上 才 会 生效 。 在 端口 模式 下 ， 使 用 如 下 命 
令 应 用 ACL。 


口 access-list-number 该 数字 为 需要 在 该 端口 应 用 的 访问 列表 的 编号 。 例 如 ， 本 例 中 此 
编号 为 1。 
口 inlout inlout 表示 在 该 端口 上 是 对 哪个 方向 的 数据 进行 过 滤 ，in 表示 对 进入 该 端口 的 
数据 进行 过 滤 ，out 则 表示 对 从 该 端口 发 出 的 数据 进行 过 滤 。 
另外 ， 在 应 用 标准 IPACL 时 ， 通 常 将 其 放置 到 尽 可 能 靠近 目标 的 位 置 。 例 如 在 本 例 中 ， 
如 果 将 ACL 应 用 在 靠近 源 端 口 全 0， 那么 网 段 172.16.1.0 内 的 计算 机 除了 可 以 访问 到 本 网 段 
的 计算 机 外 ， 其 他 任何 网 络 都 访问 不 到 。 因 此 ， 在 该 例 中 ACL 最 合适 的 放置 位 置 是 端口 f1/2 
上 。ACL 规则 编写 及 应 用 的 配置 命令 如 下 。 


从 标准 卫 访问 列表 中 , 可 看 到 利用 访问 控制 能 够 限制 网 络 中 的 计算 机 去 访问 特定 的 资源 。 
但 假定 连接 在 路 由 器 fl/2 端口 上 的 是 一 个 服务 器 群 ， 除 服务 器 172.17.1.1 外 ， 还 有 服务 器 
172.17.1.2， 如 图 8-2 所 示 。 


服务 器 
172.16.1.1 


172.16.1.0/24 


服务 器 
172.16.1.2 


172.16.2.0/24 


图 8-2 扩展 他 访问 列表 


显然 ， 使 用 标准 IP 访问 列表 将 无 法 实现 此 需求 ， 因 为 将 标准 P 访问 列表 应 用 到 1/2 端 
口上 ， 会 导致 两 台 服务 器 都 不 能 被 访问 。 在 这 种 情况 下 ， 就 需要 用 到 扩展 了 P 访问 列表 。 扩 展 
也 访问 列表 与 标准 他 访问 列表 的 应 用 规则 基本 相同 ,差别 只 在 于 扩展 的 访问 控制 列表 对 数据 
的 检查 元 素 更 丰富 一 些 。 扩 展 他 访问 列表 ， 可 检查 的 元 素 包括 源 下 地 址 、 目 标 瑟 地 址 、 协 
议 、 源 端口 号 、 目 标 端口 号 。 

若 要 在 图 8-2 所 示 网 络 结构 中 ， 实 现 172.16.1.0 网 段 的 计算 机 不 可 以 访问 服务 器 


172.17.1.1， 而 其 他 计算 机 访问 该 服务 器 时 则 不 受 限制 这 一 要 求 ， 则 需要 同时 对 数据 包 的 源 下 
地 址 和 目标 人 P 地 址 进行 检查 需求 分 析 )。 
对 需求 进行 分 析 后 ， 可 依据 需求 编写 扩展 他 访问 列表 规则 。 其 配置 命令 如 下 所 示 。 


DOQOOOoO0O 加 加/ 国有 晶 生 全 眉 


DOOQ00On 


access-list-number 所 定义 的 扩展 人 列表 的 编号 ， 其 范围 为 100~199 和 2000~2699。 
denylpermit 指定 对 匹配 此 规则 数据 包 的 处 理 方式 , deny 表示 拒绝 , permit 表示 允许 。 
protocol 协议 ， 如 也 、ICMP、TCP、UDP 等 。 

any any 表示 任何 源 地 址 。 

source 数据 包 的 源 全 地 址 。 

source-wildcard 源 IP 地 址 的 反 掩 码 。 

operator 源 端 口 操作 符 ， lt 表示 小 于 ，eq 表示 等 于 ，gt 表示 大 于 ，neg 表示 不 等 于 ， 
range 表示 范围 。 只 有 protocol 为 TCP 或 UDP 时 ， 才 会 有 此 项 。 

port 源 端口 号 ， 可 以 使 用 数字 或 服务 器 名 称 表示 ， 如 www、ftp 等 。 

any 表示 任何 目标 地 址 。 

destination 数据 包 的 目标 全 地 址 。 使 用 “any” 表 示 任 何 目标 地 址 。 
destination-wildcard 目标 人 P 地 址 的 反 掩 码 。 

operator 目标 端口 操作 符 , lt 表示 小 于 , eq 表示 等 于 , gt 表示 大 于 , neg 表示 不 等 于 ， 
range 表示 范围 。 只 有 protocol 为 TCP 或 UDP 时 ， 才 会 有 此 项 。 

port 目标 端口 号 ， 可 以 使 用 数字 或 服务 器 的 名 称 表 示 ， 如 www、ftp 等 。 
precedence 报 文 的 IP 优 先 级 别 ， 范 围 0~7。 

tos tos 报 文 的 服务 类 型 ， 范 围 为 0~15。 

time-range time-range-name 规则 生效 的 时 间 范 围 ， 并 指定 时 间 范 围 的 名 称 。 

dscp dscp ”数据 包 的 DSCP (Differentiated Services Code Point ) 值 ， 范 围 为 0~64。 
fragment fragment 表示 非 初 始 分 段 报 文 。 当 使 用 这 个 参数 后 ， 此 ACL 规则 将 只 会 对 
未 被 分 段 的 报 文 进行 检查 ， 而 不 检查 在 数据 传输 过 程 中 已 分 段 的 报 文 。 


在 端口 应 用 扩展 了 P 访问 列表 的 方式 ， 与 标准 了 P 访问 列表 一 样 。 由 于 扩展 卫 访问 列表 对 
数据 的 检测 可 以 做 得 更 精确 ， 因 此 ACL 规则 可 以 应 用 在 靠近 源 端 位 置 。 这 里 在 路 由 器 fl/0 端 
口 ， 按 照 如 下 命令 配置 和 应 用 扩展 卫 ACL， 将 不 会 带 来 172.16.1.0 网 段 的 计算 机 无 法 访问 任 
何 网 络 的 问题 ， 只 是 不 能 访问 服务 器 172.17.1.1。 


在 上 面 网 络 需求 中 ， 只 用 指定 目标 地 址 就 可 以 满足 要 求 。 但 在 另 一 些 需 求 中 ， 可 能 还 需 
要 指定 端口 。 例 如 ，172.17.1.1 为 公司 的 文件 服务 器 ， 要 求 网 段 172.16.1.0 中 的 计算 机 能 够 访 
问 172.17.1.1 中 的 FTP 服务 和 Web 服务 ， 而 对 服务 器 上 其 他 服务 禁止 访问 。 此 时 ， 则 需要 按 
照 以 下 命令 进行 扩展 IPACL 规则 的 配置 和 应 用 。 


在 上 面 配置 命令 中 ,www 表示 端口 号 80, ftp 表示 FTP 的 控制 端口 21，ftp-data 表示 FTP 
的 数据 端口 20。 而 此 例 中 ,没有 指定 源 端口 号 ， 因为 这 里 只 关心 目标 端口 ( 若 不 指定 源 端口 ， 
则 表示 匹配 所 有 源 端 口 )。 另 外 ， 由 于 ACL 的 默认 操作 为 拒绝 所 有 ， 所 以 最 右面 的 拒绝 其 他 
所 有 流量 的 规则 可 省 略 。 


标准 PACL 和 扩展 IPACL 均 属于 编号 访问 控制 列表 , 且 它们 的 编号 范围 分 别 为 1~99 和 
1300 一 1999、100 一 199 和 2000 一 2699， 有 耗 尽 的 可 能 ， 而 名 称 ACL 则 没有 这 种 限制 。 除 了 
在 编写 规则 的 语法 上 稍 有 不 同 ， 其 他 诸如 检查 元 素 、 默 认 规 则 等 均 与 编号 访问 列表 相同 。 另 
外 ， 名 称 ACL 同样 分 为 标准 一 ACL 和 扩展 卫 ACL。 

口 标准 名 称 IPACL 

在 全 局 配置 模式 下 ， 使 用 如 下 命令 可 创建 并 配置 标准 名 称 IP ACL。 


在 该 命令 中 ，name 字段 指定 此 ACL 的 名 称 ， 可 使 用 数字 或 英文 字母 表示 。 执 行 完 此 命 
令 后 ， 系 统 将 进入 标准 ACL 配置 模式 ; access-list-number 字段 表示 标准 名 称 ACL 的 编号 ， 其 
范围 为 1 一 99 和 1300 一 1999。 


当 这 里 指定 ACL 的 编号 而 不 指定 名 称 时 ， 此 ACL 将 是 一 个 编号 ACL， 与 之 
前 介绍 的 标准 ACL 一 样 ， 但 在 配置 标准 名 称 ACL ( 带 编号 的 ) 规则 中 ， 将 会 
在 ACL 配置 模式 下 进行 。 


在 ACL 模式 下 , 可 使 用 如 下 命令 配置 标准 名 称 ACL 规则 (命令 中 参数 的 含义 与 编号 ACL 


中 相同 )。 


口 扩展 名 称 IP ACL 
在 全 局 配置 模式 下 ， 使 用 如 下 命令 可 创建 并 配置 扩展 名 称 IP ACL (命令 中 参数 含义 与 标 
准 名 称 ACL 中 相同 )。 


在 ACL 模式 下 , 可 使 用 如 下 命令 配置 标准 名 称 ACL 规则 (命令 中 参数 的 含义 与 编号 ACL 
中 相同 )。 


在 端口 应 用 名 称 ACL 与 应 用 编号 ACL 的 方式 和 命令 类 似 ， 只 需要 将 编号 蔡 换 为 名 称 
即 可 。 


若 要 满足 网 段 172.16.1.0 内 的 计算 机 , 能 够 访问 文件 服务 器 (IP 地 址 为 172.17.1.1) 中 FTP 
服务 和 Web 服务 ， 而 对 服务 器 上 其 他 服务 禁止 访问 这 一 要 求 。 此 时 ， 可 按照 以 下 命令 进行 扩 
展 名 称 IPACL 规则 的 配置 和 应 用 。 


8.1.3 ”时 间 访 问 列表 


在 所 介绍 的 各 种 ACL 的 规则 配置 中 ， 可 看 到 每 种 ACL 规则 后 面 都 有 一 个 可 选 的 参数 
time-range， 此 参数 表示 一 个 时 间 段 。 在 实际 的 网 络 控制 中 ,不同 的 时 间 段 内 需要 不 同 的 控制 ， 
例如 学 校 网 络 中 ， 和 希望 上 课时 间 禁 止 学 生 访 问 学 校 的 某 影视 服务 器 ， 而 下 课时 间 则 人 允许 访问 。 
这 种 情况 下 ，ACL 需要 和 时 间 段 结合 起 来 应 用 ， 即 基于 时 间 的 ACL。 事 实 上 ， 基 于 时 间 的 
ACL 只 是 在 ACL 规则 后 面 使 用 time-range 参数 为 此 规则 指定 一 个 时 间 段 ,只 有 在 此 时 间 范 围 


内 该 规则 才 会 生效 ， 各 类 ACL 均 可 以 使 用 时 间 段 。 

时 间 段 可 分 为 绝对 时 间 段 (Absolute)、 周 期 时 间 段 (Periodic) 和 混合 时 间 段 3 种 类 型 。 

口 绝对 时 间 段 ”绝对 时 间 段 表示 一 个 时 间 范 围 ， 即 从 某 时 刻 开 始 到 某 时 刻 结束 ， 例 如 1 
月 5 日 早晨 8 点 到 3 月 6 日 早晨 8 点 。 

口 周期 时 间 段 ”周期 时 间 段 表示 一 个 时 间 周 期 ， 例 如 每 天 的 早晨 8 点 到 晚上 6 点 ， 或 每 
周一 至 周 五 的 早晨 8 点 到 晚上 6 点 。 也 就 是 说 ， 周 期 时 间 不 是 一 个 连续 的 时 间 范 围 
而 是 特定 某 天 的 某 个 时 间 段 。 

口 混合 时 间 段 ”可 以 将 绝对 时 间 段 和 周期 时 间 段 结合 应 用 ， 称 为 混合 时 间 段 。 例 如 ，1 
月 5 日 到 3 月 6 日 的 每 周一 到 周 五 早晨 8 点 到 晚上 6 点。 


在 全 局 配置 模式 下 ， 使 用 如 下 命令 创建 并 配置 时 间 段 。 


口 time-range-name 表示 时 间 段 的 名 称 。 执 行 该 命令 后 ， 系 统 将 进入 时 间 段 配置 模式 。 


在 时 间 段 配置 模式 ， 使 用 如 下 命令 配置 绝对 时 间 段 。 


口 start time date 表示 时 间 段 的 起 始 时 间 。time 表示 时 间 ， 格 式 为 “hh:mm”; date 表示 
日 期 格式 为 “日 、 月 、 年 ”。 
口 end time date 表示 时 间 段 的 结束 时 间 ， 格 式 与 起 始 时 间 相 同 。 
在 配置 绝对 时 间 段 时 ， 可 以 只 配置 起 始 时 间或 只 配置 结束 时 间 。 以 下 为 2009 年 1 月 1 日 
8 点 到 2010 年 2 月 1 日 10 点 ， 使 用 绝对 时 间 段 范围 表示 的 配置 示例 。 


在 时 间 段 配置 模式 下 ， 使 用 如 下 命令 配置 周期 时 间 段 。 


口 day_of the_ week 表示 一 个 星期 内 的 一 天 或 几 天 ，Monday、Tuesday、Wednesday、 
Thursday、 Friday、Saturday、Sunday。 

口 hh:mm 表示 时 间 。 

口 weekdays 表示 周一 到 周 五 。 

口 weekend 表示 周 六 到 周 日 。 

口 daily 表示 周一 到 周 日 。 

以 下 为 每 周一 至 周 五 早晨 9 点 到 晚上 18 点 ， 使 用 周期 时 间 段 范围 表示 的 配置 示例 。 


配置 完 时 间 段 后 ， 必 须 在 ACL 规则 中 使 用 time-range 参数 引用 时 间 段 才能 生效 ， 且 只 有 
在 time-range 规则 中 指定 的 时 间 段 内 生效 ， 其 他 未 引用 的 时 间 段 将 不 受 影响 。 

图 8-3 所 示 为 某 公 司 的 网 络 , 现在 需要 配置 访问 控制 规则 ， 在 上 班 时 间 (9: 00 一 18: 00) 
不 允许 员工 的 计算 机 (172.16.1.0/24) 访问 Internet, 下 班 时 间 可 以 访问 Internet 上 的 Web 服务 。 


Internet 


172.16.1.0/24 


图 8-3 基于 时 间 的 ACL 
要 实现 该 公司 网 络 需 求 ， 可 按照 以 下 命令 对 时 间 ACL 规则 进行 配置 和 应 用 。 


在 以 上 示例 中 ， 第 1 条 规则 为 拒绝 172.16.1.0/24 内 计算 机 访问 Internet， 在 此 规则 中 引用 
了 一 个 时 间 段 “o 人 fwork”， 即 只 有 在 该 时 间 规则 定义 的 时 间 范 围 内 此 控制 才 会 生效 ， 如 果 当 
前 时 间 不 在 定义 的 时 间 范 围 内 ， 则 系统 会 跳 过 这 条 规则 去 检查 下 一 条 规则 (下 班 时 间 可 以 访 
问 Internet 的 Web 服务 )， 然 后 将 此 ACL 应 用 到 内 部 端口 的 入 方向 实施 过 滤 。 

在 使 用 基于 时 间 的 ACL 时 , 最 重要 是 要 保证 设备 (路 由 器 或 交换 机 ) 系统 时 间 的 准确 性 ， 
因为 设备 是 根据 自己 的 系统 时 间 来 判断 当前 时 间 是 否 在 时 间 段 范围 内 的 。 为 了 保证 设备 系统 
时 间 的 准确 性 ， 可 以 使 用 NTP (Network Time Protocol， 网 络 时 间 协 议 ) 来 保证 网 络 中 时 钟 的 
同步 ， 或 在 特权 模式 下 ， 使 用 clock set 命令 调整 系统 时 间 ， 并 利用 show clock 命令 查看 当前 
系统 时 间 。 


8.1.4 MAC 访问 列表 


所 介绍 的 编号 和 名 称 的 标准 ACL 和 扩展 ACL 都 是 基于 IP 的 , 所 以 称 为 IP ACL。 但 在 某 
些 场合 基于 IP 的 ACL 可 能 无 法 满足 网 络 的 需求 。 例 如 ， 图 8-4 所 示 为 一 个 企业 网 络 ， 它 只 多 
许 公司 财务 部 的 计算 机 (172.16.1.1) 访问 公司 的 财务 服务 器 (172.16.1.254)， 不 允许 其 他 任 
何 员工 的 计算 机 访问 财务 服务 器 。 


财务 服务 器 
172.16.1.254/24 


172.16.1.3/24 
000c.000c.000c 


172.16.1.2/24 
000b.000b.000b 


172.16.1.1/24 
000a.000a.000a 


图 8-4 MAC 访问 列表 


对 于 以 上 需求 ， 虽 然 也 可 以 使 用 扩展 卫 ACL 实现 ， 但 如 果 其 他 员工 修改 计算 机 的 他 地 
址 为 172.16.1.1， 那 么 就 能 够 访问 财务 服务 器 ， 这 种 情况 下 使 用 基于 MAC 的 ACL 则 可 以 避免 
此 现象 的 发 生 。 因 为 ， 基 于 MAC 的 ACL 所 检查 的 元 素 为 数据 包 的 源 MAC 地 址 和 目标 MAC 
地 址 ， 而 通常 计算 机 的 MAC 地 址 是 固定 的 ， 不 能 修改 的 ， 所 以 根据 MAC 地 址 过 滤 的 访问 控 
制 设 备 不 会 被 “欺骗 ”。 


在 全 局 配置 模式 下 ， 使 用 如 下 命令 可 创建 并 配置 基于 MAC 的 ACL。 


口 name 表示 MAC ACL 的 名 称 。 执 行 此 命令 后 ， 系 统 将 进入 到 MAC ACL 配置 模式 。 
口 access-list-number MAC ACL 的 编号 ， 范 围 为 700~799。 
进入 MAC ACL 模式 后 ， 使 用 如 下 命令 配置 MAC ACL 的 访问 控制 规则 。 


口 permitldeny 指定 对 符合 此 规则 的 数据 包 的 处 理 方式 ，deny 为 拒绝 ，permit 为 允许 。 
口 any 表示 任何 源 MAC 地 址 。 

口 host source-mac-address 表示 源 MAC 地 址 。 

口 any 表示 任何 目标 MAC 地 址 。 


口 host destination-mac-address 表示 目标 MAC 地址 。 
口 ethernet-type 表示 以 太 网 类 型 。 如 果 不 指定 ， 则 表示 匹配 所 有 类 型 的 以 太 网 帧 。 
口 time-range time-range-name 表示 规则 生效 的 时 间 范围 ， 并 指定 时 间 范 围 的 名 称 。 


在 端口 模式 下 ， 使 用 如 下 命令 将 MAC ACL 应 用 到 端口 。 


口 name 表示 MACACL 名 称 。 

口 access-list-number 表示 MAC ACL 的 编号 ， 范 围 是 700~799。 

对 于 MAC ACL， 一 些 交 换 机 只 支持 入 方向 〈in) 的 过 滤 ， 所 以 在 配置 和 应 用 MAC ACL 
时 ， 需 要 考虑 ACL 规则 的 配置 方式 ， 以 及 应 用 MAC ACL 的 端口 。 

在 此 ， 假 设 图 8-4 中 财务 服务 器 的 MAC 地 址 为 000d.000d.000d， 且 使 用 MAC ACL 实现 
只 允许 财务 部 的 计算 机 能 够 访问 财务 服务 器 。 MAC ACL 被 应 用 到 接 入 非 财务 计算 机 端口 的 入 
方向 。 其 配置 如 下 所 示 。 


8.2 网络 地 址 转换 


网 络 地 址 转换 (Network Address Translation，NAT) 是 将 全 报头 中 的 源 地 址 或 目标 地 址 
进行 翻译 或 转换 的 一 种 广域网 (WAN) 技术， 主要 被 用 来 将 内 部 私有 地 址 转换 为 公有 地 址 。 

NAT 的 典型 应 用 是 将 使 用 私有 IP 地 址 的 园区 网 络 连 接 到 Internet 上 ， 这 样 ， 公 司 就 无 需 
给 内 部 网 络 中 的 每 个 设备 分 配 公有 他 地 址 ， 既 避免 了 公有 地 址 的 浪费 ， 又 节省 了 申请 公有 全 
地 址 的 费用 ， 而 且 还 能 够 有 效 地 避免 来 自 网 络 外 部 的 攻击 ， 隐 藏 并 保护 网 络 内 部 的 计算 机 。 


8.2.1 NAT 概述 


NAT 有 几 种 类 型 ， 如 网 络 地 址 转换 和 端口 地 址 转换 (Port Address Translation，PAT)。 由 


于 使 用 了 许多 术语 ， 地 址 转换 的 概念 容易 让 人 混淆 ， 特 别 是 许多 人 不 能 正确 地 使 用 地 址 转换 
的 术语 。 表 8-1 和 表 8-2 分 别 给 出 了 地 址 转换 中 常用 的 术语 和 地 址 转换 类 型 的 一 些 术语 。 


表 8-1 常用 的 地 址 转换 术语 


内 部 位 于 网 络 内 部 的 网 络 

外 部 位 于 网 络 外 部 的 网 络 

本 地 物理 分 配给 设备 的 他 地址 

全 局 物理 或 逻辑 分 配给 设备 的 公共 他 地 址 
内 部 本 地 他 地址 分 配 了 私有 也 地 址 的 内 部 设备 

内 部 全 局 他 地 址 分 配 了 公有 也 地 址 的 内 部 设备 

外 部 全 局 人 P 地 址 分 配 了 公有 了 P 地 址 的 外 部 设备 

外 部 本 地 IP 地 址 分 配 了 私有 IP 地 址 的 外 部 设备 


表 8-2 常用 的 地 址 转换 类 型 


标准 一 个 他 地 址 转换 成 一 个 不 同 的 下 地 址 
扩展 将 一 个 包 地 址 和 一 个 TCP/UDP 端口 号 映射 成 一 个 不 同 的 p 地 址 ， 可 能 包含 端口 号 
静态 在 两 个 地 址 之 间 执 行 手工 地 址 转换 ， 可 能 包括 端口 号 


动态 一 个 地 址 ”转换 设备 在 两 个 地 址 间 自 动 执 行 地 址 转换 ， 可 能 包含 端口 号 

网 络 地 址 转换 。 只 转换 他 地 址 〈 不 包括 端口 号 ) 

端口 地 址 转换 ”把 许多 内 部 也 地 址 转换 成 一 个 单独 的 IP 地 址 ， 每 一 个 内 部 地 址 通过 给 定 一 个 不 同 的 端 
口号 来 确定 转换 的 唯一 性 


网 络 地 址 转换 把 一 个 IP 地 址 转换 为 男 一 个 IP 地 址 ， 被 转换 的 IP 地 址 可 以 是 源 地 址 或 目 
标 地 址 。 在 NAT 中 ， 有 静态 和 动态 两 种 基本 实现 方法 。 

口 静态 NAT 

使 用 静态 NAT， 地 址 转换 设备 执行 手动 转换 将 一 个 地 址 转换 为 男 一 个 不 同 的 地 址 。 典 型 
情况 下 ， 静 态 NAT 用 来 转换 进入 网 络 的 数据 包 中 的 目标 了 P 地 址 ， 但 也 可 用 来 转换 源 地 址 。 

图 8-5 给 出 了 一 个 外 部 用 户 访问 内 部 Web 服务 器 的 简单 实例 。 在 该 实例 中 ， 希望 Internet 
上 的 用 户 访 问 内 部 的 Web 服务 器 ， 但 该 服务 器 使 用 了 私有 地 址 (10.1.1.1)。 这 样 ， 如 果 外 部 
用 户 将 私有 地 址 放 入 目标 下 地 址 字段 中 ， 他 们 的 ISP 将 会 丢弃 该 数据 包 。 因 此 ，Web 服务 器 
需要 具有 一 个 公共 地 址 〈 这 是 在 地 址 转换 设备 中 定义 的 )。 

Web 服务 器 分 配 一 个 内 部 全 局 人 P 地 址 200.200.200.1， 在 路 由 器 和 DNS 服务 器 上 将 该 地 
址 通告 给 外 部 用 户 。 当 外 部 用 户 向 200.200.200.1 地 址 发 送 数据 时 ， 路 由 器 会 检查 它 的 转换 表 
寻找 匹配 条 目 。 在 该 实例 中 ， 会 发 现 200.200.200.1 映射 成 10.1.1.1。 随 后 路 由 器 将 目标 他 地 
址 更 改 为 10.1.1.1， 并 将 数据 包 转 发 到 内 部 Web 服务 器 。 注 意 如 果 路 由 器 不 转换 成 10.1.1.1， 
由 于 外 部 用 户 最 初 是 将 流量 发 送 到 200.200.200.1，Web 服务 器 是 不 会 知道 这 个 信息 是 给 它 自 
己 的 。 同 样 ， 当 Web 服务 器 发 送 流 量 到 外 部 公共 网 络 时 ， 路 由 器 会 比较 转换 表 中 的 源 地 址 项 ， 


如 果 发 现 匹配 条 目 ， 会 将 内 部 本 地 地 址 〈 私 有 源 地 址 10.1.1.1) 更 改 为 内 部 全 局 P 地 址 〈 公 


共 源 地 址 200.200.200.1)。 


| 地 址 转换 表 
i 


10.1.1.1 200.200.200.1 


Web 服 务 器 
10.1.1.1 内 部 网 络 


Ethernet0 Serial0 
地 址 转换 设备 Jnternet 


源 IP:199.10.17.25 目标 IP:10.1.1.1 源 IP:199.10.17.25 目标 IP:200.200.200.1 


8-5 ”静态 地 址 转换 实例 


口 动态 NAT 

由 于 使 用 静态 NAT 时 ， 需 要 手动 建立 转换 。 如 果 有 1000 台 设 备 ， 就 需要 在 地 址 转换 表 
中 创建 1000 条 静态 条 目 ， 这 将 是 十 分 繁重 的 工作 。 通 常 ， 静 态 转换 是 为 外 部 用 户 需 要 访问 内 
部 资源 时 服务 的 ， 当 内 部 用 户 访问 外 部 资源 时 ， 通 常 使 用 动态 NAT。 在 这 种 情形 下 ， 由 于 外 
部 设备 不 需要 直接 访问 内 部 用 户 ， 只 需 内 部 用 户 请 求 的 流量 返回 给 他 们 ， 因 此 分 配给 内 部 用 
户 什 么 地 址 就 不 是 很 重要 。 

使 用 动态 NAT， 必 须 在 地 址 转换 设备 上 手动 定义 两 个 地 址 集 。 一 个 地 址 集 定义 允许 转换 
哪些 内 部 地 址 ， 另 一 个 地 址 集 定义 这 些 地 址 被 转换 成 什么 。 当 内 部 用 户 通过 地 址 转换 设备 (如 
路 由 器 ) 发 送 流量 时 ， 该 转换 设备 会 检查 源 地 址 并 将 其 与 内 部 本 地 地 址 池 进 行 比较 。 如 果 发 
现 某 条 目 匹配 ， 它 会 确定 哪个 内 部 全 局 地 址 池 将 用 来 进行 转换 。 随 后 ， 它 从 全 局 地 址 池 中 动 
态 选 择 一 个 当前 没有 分 配给 内 部 设备 的 地 址 。 路 由 器 将 该 条 目 加 入 到 地 址 转换 表 ， 并 将 数据 
包 发 送 到 外 部 。 如 果 在 本 地 地 址 池 中 没有 发 现 匹 配 条 目 ， 地 址 不 会 转换 ， 也 不 会 以 原始 状态 
转发 到 外 部 。 

当 返 回流 量 回 到 网 络 时 ， 地 址 转换 设备 会 检查 目标 了 P 地 址 ， 并 将 它们 与 地 址 转换 表 进 行 
比较 。 当 发 现 匹 配 条 目 时 ， 它 会 将 数据 包 中 的 目标 他 地 址 字段 ， 从 全 局 内 部 地 址 转换 成 本 地 
地 址 ， 并 将 数据 转发 到 内 部 网 络 。 


静态 或 动态 NAT， 都 只 能 提供 一 对 一 的 地 址 转换 。 所 以 ， 如 果 有 5000 台 具 有 私有 地 址 的 
内 部 设备 , 并 且 所 有 5000 台 设 备 试图 同时 访问 Intemet, 这 样 在 内 部 全 局 地 址 池 中 就 需要 5000 
个 公有 地 址 。 但 如 果 仅 有 1000 个 公共 地 址 ， 则 只 能 将 前 1000 台 设 备 被 转换 ， 剩 余 4000 台 设 
备 将 无 法 到 达 外 部 目的 地 。 

为 了 解决 该 问题 ， 可 使 用 成 为 地 址 复 用 〈address overloading) 的 过 程 。 在 该 过 程 中 ， 又 
通常 利用 端口 地 址 转换 和 网 络 地 址 端口 转换 (Network Address Port Translation，NAPT )。 

利用 PAT， 所 有 通过 地 址 转换 设备 的 计算 机 都 将 拥有 了 分 配给 它们 的 相同 人 P 地 址 ， 因 此 
源 端 口号 用 来 区 分 不 同 的 连接 。 如 果 两 台 设 备 具有 相同 的 源 端口 号 ， 转 换 设备 将 更 改 其 中 的 
一 个 来 确定 唯一 性 。 在 查看 地 址 转换 表 时 ， 会 显示 以 下 内 容 。 


口 内 部 本 地 下 地 址 (起 始 源 私 有 地 址 )。 

口 内 部 本 地 端口 号 (起 始 源 端口 号 )。 

口 内 部 全 局 人 地 址 (被 转换 的 公共 源 卫 )。 

口 内 部 全 局 端口 号 (新 源 端 口号 )。 

口 外 部 全 局 也 地 址 (目的 公共 地 址 )。 

口 外 部 全 局 端口 号 (目的 端口 号 )。 

NAT 与 PAT 相 比 较 ， 其 中 一 个 主要 优点 是 NAT 基本 上 可 使 用 大 部 分 IP 连接 类 型 。 由 于 
PAT 依靠 端口 号 来 区 分 连接 ， 因 此 PAT 只 能 和 TCP/UDP 协议 一 起 工作 。 


8.2.2 静态 地 址 转换 的 实现 


通常 在 外 部 网 络 设备 需要 访问 如 Web、DNS 和 邮件 服务 器 等 内 部 资源 时 使 用 静态 地 址 转 
换 。 它 的 实现 主要 通过 在 地 址 转换 设备 上 手动 将 转换 地 址 和 被 转换 地 址 一 对 一 映射 进行 配置 。 
在 IOS 中 ， 必 须 执行 两 个 基本 配置 步骤 。 

口 定义 地 址 转换 类 型 ( 全 局 配置 模式 命令 )。 

口 定义 设备 位 置 ( 端口 配置 模式 命令 )。 

下 面 为 定义 静态 地 址 转换 的 两 条 命令 。 


inside 与 outside 参数 指定 了 转换 进行 的 方向 。 如 inside 字段 指定 内 部 源 P 地 址 转换 为 内 
部 全 局 亿 地 址 ; outside 字段 将 外 部 目标 全 局 P 地 址 转换 为 外 部 本 地 地 址 。 

配置 完成 后 ， 需 要 指定 路 由 器 上 哪些 端口 在 外 部 ， 哪 些 端口 在 内 部 。 这 可 以 通过 下 面 配 
置 实现 。 


在 连接 到 内 部 网 络 的 端口 上 指定 inside。 用 图 8-6 所 示 的 网 络 来 进行 简单 的 静态 NAT 配 
置 , 在 该 例 中 , 将 为 一 台 内 部 Web 服务 器 (192.168.1.1) 分 配 一 个 全 局 IP 地 址 (200.200.200.1)。 
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要 实现 该 需求 ， 在 路 由 器 上 可 做 如 下 配置 。 


在 该 配置 列表 中 ，ip nat inside source static 命令 定义 了 转换 。ip nat inside 或 outside 命令 
指定 哪个 端口 在 内 部 〈Ethemet 0)， 哪 个 端口 在 外 部 〈Serial 0)。 注 意 ， 任 何不 匹配 地 址 转换 
规则 的 数据 包 在 通过 这 两 个 端口 时 不 会 被 转换 。 


8.2.3 ”动态 地 址 转换 的 实现 


当 配 置 动态 NAT 时 ， 需 要 配置 哪些 内 部 地 址 被 转换 、 哪 些 动态 地 址 用 于 动态 转换 及 哪些 
端口 包括 在 转换 中 3 个 部 分 。 要 指定 转换 哪些 内 部 设备 的 源 地 址 ， 使 用 下 列 命令 。 


ip nat inside source list 命令 需要 配置 一 个 标准 IP 访问 控制 列表 , 来 指定 用 于 转换 的 内 部 源 
地 址 ， 将 转换 的 任何 用 permit 语句 列 出 的 地 址 ， 不 转换 任何 使 用 全 局 源 P 地 址 的 地 址 池 绑 定 
在 一 起 。 

并 创建 源 地 址 名 称 来 引用 从 命令 ip nat inside source list 转换 而 来 的 内 部 地 址 。 然后, 列 出 
地 址 池 中 开始 、 结 束 地 址 及 子 网 掩 码 。 

一 旦 完成 这 些 ， 最 后 需要 配置 的 是 哪些 端口 属于 网 络 的 内 部 端口 和 外 部 端口 。 在 此 ， 仍 
使 用 图 8-6 所 示 网 络 来 说 明 如 何 配置 动态 NAT， 但 需要 在 两 台 计算 机 上 执行 动态 NAT， 配 置 
列表 如 下 。 


ip nat inside list 命令 指定 将 要 转换 内 部 源 地 址 。 注意 这 些 是 ACL 1 中 的 地 址 (192.168.1.10 


和 192.168.1.11)。 它 们 与 成 为 nat-pool 的 全 局 地 址 池 关 联 。ip nat pool 命令 指定 内 部 源 地 址 将 
被 转换 的 全 局 地 址 。 另 外 ， 指 定 Ethernet 0 端口 为 内 部 ，Serial 0 端口 指定 在 外 部 。 


8.2.4 端口 复 用 地 址 转换 


实现 端口 地 址 转换 时 ， 其 配置 与 配置 动态 NAT 非常 相似 ， 同 样 需 要 3 条 基本 转换 命令 。 
首先 ， 要 指定 哪 台 内 部 设备 将 转换 其 源 地 址 ， 这 里 将 使 用 动态 NAT 中 用 过 的 相同 命令 ， 但 要 
加 上 overload 参数 指定 执行 端口 复 用 地 址 转换 。 


然后 ， 指 定 使 用 的 全 局 地 址 池 ， 其 配置 命令 如 下 所 述 。 


在 PAT 中 ， 可 以 指定 多 于 一 个 地 址 ， 或 指定 一 个 单独 的 卫 地 址 (起 始 与 结束 使 用 相同 地 
址 )。 最 后 ， 必 须 分 别 用 ip nat inside 和 ip nat outside 命令 通告 路 由 器 的 哪些 端口 在 内 部 ， 哪 些 
端口 在 外 部 。 

在 此 ,利用 图 8-6 所 示 网 络 来 说 明 如 何 配置 端口 复 用 地 址 转换 。 在 该 实例 中 ,地 址 池 只 有 
一 个 单独 的 他 地址 (200.200.200.2)。 


较 优 的 路 由 器 本 身 会 采取 一 个 相对 完善 的 安全 机 制 来 保护 自己 ， 但 仅 有 这 一 点 是 远 远 不 
够 的 。 保 护 路 由 器 安全 还 需要 网 管 员 在 配置 和 管理 路 由 器 过 程 中 采取 相应 的 安全 措施 。 


限制 系统 物理 访问 是 确保 路 由 器 安全 的 最 有 效 方法 之 一 。 限 制 系统 物理 访问 的 一 种 方法 
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就 是 将 控制 台 和 终端 会 话 配 置 成 在 较 短 闲 置 时 间 后 自动 退出 系统 。 另 外 ， 避 免 将 调制 解 调 器 
(Modem) 连接 到 路 由 器 的 辅助 端口 (AUI 端口 ) 也 很 重要 。 

一 旦 限制 了 路 由 器 的 物理 访问 ， 用 户 一 定 要 确保 路 由 器 的 安全 补丁 是 最 新 的 。 漏 洞 常 常 
是 在 供应 商 〈ISP) 发 行 补丁 之 前 被 暴露 ， 使 得 黑客 会 在 供应 商 发 行 补丁 之 前 利用 受 影响 的 系 
统 ， 这 需要 引起 用 户 的 关注 。 


@ 2. 避免 身份 危机 ) 


黑客 常常 利用 弱 口 令 或 默认 口令 进行 攻击 。 加 长 口令 、 选 用 30 到 60 天 的 口令 有 效 期 等 
措施 有 助 于 防止 这 类 漏洞 。 如 一 旦 重要 的 IT 员工 辞职 ， 用 户 应 该 立即 更 换 口令 ， 还 应 该 启用 
路 由 器 上 的 口令 加 密 功 能 ， 这 样 即使 黑客 能 够 浏览 系统 的 配置 文件 ， 仍 然 需 要 破译 密 文 口令 。 

另外 ， 实 施 合理 的 验证 控制 也 可 使 路 由 器 安全 地 传输 证 书 。 在 大 多 数 路 由 器 上 ， 用 户 可 
以 配置 一 些 协议 ， 如 远程 验证 拨 入 用 户 服务 ， 这 样 能 够 使 用 这 些 协 议 结合 验证 服务 器 提供 经 
过 加 密 、 验 证 的 路 由 器 访问 。 验 证 控制 可 将 用 户 的 验证 请 求 转发 给 通常 在 后 端 网 络 上 的 验证 
服务 器 ， 还 可 以 要 求 用 户 使 用 双 因素 验证 ， 以 此 加 强 验证 系统 。 双 因素 的 前 者 是 软件 或 硬件 
的 令 牌 生成 部 分 , 后 者 则 是 用 户 身 份 和 令 牌 通行 码 。 其 他 验证 解决 方案 涉及 在 安全 外 过 (SSH) 
或 他 Sec 内 传送 安全 证 书 。 


3. 禁用 不 必要 服务 站 

拥有 众多 路 由 服务 是 件 好 事 ， 但 近来 许多 安全 事件 都 突显 了 禁用 不 需要 本 地 服务 的 重要 
性 。 需 要 注意 的 是 ， 禁 用 路 由 器 上 的 CDP 可 能 会 影响 路 由 器 的 性 能 ， 另 一 个 需要 用 户 考 虑 的 
因素 是 定时 ， 它 对 有 效 操作 网 络 是 必 不 可 少 的 。 即 使 用 户 确 保 了 部 署 期 间 时 间 同 步 ， 经 过 一 
段 时 间 后 ， 时 钟 仍 有 可 能 逐渐 失去 同步 。 此 时 ， 可 利用 网 络 时 间 协 议 (NTP) 服务 ， 对 照 有 效 
准确 的 时 间 源 ， 以 确保 网 络 上 的 设备 时 针 同 步 。 

不 过 ， 确 保 网 络 设备 时 钟 同步 的 最 佳 方式 不 是 通过 路 由 器 ， 而 是 在 防火 墙 保护 的 非 军事 
区 CDMZ) 区 域内 放 一 台 NTP 服务 器 ， 将 该 服务 器 配置 为 仅 允许 向 外 面 的 可 信 公 共 时 间 源 提 
出 时 间 请 求 。 在 路 由 器 上 ， 用 户 很 少 需要 运行 其 他 服务 (如 SNMP、DHCP) ， 只 有 绝对 必要 
时 才 使 用 这 些 服务 。 


@ 4. 限制 逻辑 访问 国 

限制 逻辑 访问 主要 借助 于 合理 处 置 访问 控制 列表 。 限 制 远 程 终端 会 话 有 助 于 防止 黑客 获 
得 系统 逻辑 访问 , 但 如 果 无 法 避免 Telnet, 还 可 使 用 终端 访问 控制 ， 以 限制 只 能 访问 可 信 计 算 
机 。 因 此 ， 用 户 需要 给 Telnet 在 路 由 器 上 使 用 的 虚拟 终端 端口 添加 一 份 访问 列表 。 

ICMP 有 助 于 排除 故障 ， 但 也 为 攻击 者 提供 了 用 来 浏览 网 络 设备 、 确 定 本 地 时 间 戳 和 网 络 
掩 码 以 及 对 IOS 修正 版 本 作出 推测 的 信息 。 为 了 防止 黑客 搜集 上 述 信息 ， 只 允许 以 下 类 型 的 
ICMP 流量 进入 用 户 网 络 : ICMP 网 无 法 到 达 的 、 主 机 无 法 到 达 的 、 端 口 无 法 到 达 的 、 包 太 大 
的 、 源 抑制 的 以 及 超出 生存 时 间 (TTL) 的 。 此 外 ， 逻 辑 访 问 控制 还 应 禁止 ICMP 流量 以 外 的 
所 有 流量 。 

使 用 入 站 访问 控制 将 特定 服务 引导 至 对 应 的 服务 器 。 例 如 ， 只 允许 SMTP 流量 进入 邮件 
服务 器 ; DNS 流量 进入 DNS 服务 器 ; 通过 安全 套 接 协 议 层 (SSL) 的 HITP (HTTP/S) 流量 
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进入 Web 服务 器 。 为 了 避免 路 由 器 成 为 DogS 攻击 目标 ,用 户 应 该 拒绝 以 下 流量 进入 : 没有 下 
地 址 的 包 、 采 用 本 地 计算 机 地 址 、 广 播 地 址 、 多 播 地 址 以 及 任何 假冒 的 内 部 地 址 的 包 。 虽 然 
用 户 无 法 杜绝 Dos 攻击 ， 但 用 户 可 以 限制 Dos 的 和 危害。 用 户 可 以 采取 增加 SYN ACK 队列 长 
度 、 缩 短 ACK 超时 等 措施 来 保护 路 由 器 免 受 TCP SYN 攻击 。 

用 户 还 可 以 利用 出 站 访问 控制 限制 来 自 网 络 内 部 的 流量 。 这 种 控制 可 以 防止 内 部 计算 机 
发 送 ICMP 流量 ， 只 允许 有 效 的 源 地 址 包 离 开 网 络 。 这 有 助 于 防止 IP 地 址 欺骗 ， 减 小 黑客 利 Ca1) 
用 用 户 系统 攻击 另 一 站 点 的 可 能 性 。 


人 5 监控 配置 更 改 


用 户 在 对 路 由 器 配置 进行 修改 后 ， 需 要 对 其 进行 监控 。 如 果 用 户 使 用 SNMP， 那 么 一 定 
要 选择 功能 强大 的 共用 字符 串 ， 最 好 是 使 用 提供 消息 加 密 功 能 的 SNMP。 如 果 不 通过 SNMP 
管理 对 设备 进行 远程 配置 ， 则 最 好 将 SNMP 设备 配置 成 只 读 。 拒 绝对 这 些 设备 进行 写 访问 ， 
用 户 就 能 防止 黑客 改动 或 关闭 接口 。 此 外 ， 用 户 还 需 将 系统 日 志 消息 从 路 由 器 发 送 至 指定 服 
务 器 。 

为 进一步 确保 安全 管理 ,用 户 可 以 使 用 SSH 等 加 密 机 制 , 利用 SSH 与 路 由 器 建立 加 密 的 
远程 会 话 。 为 了 加 强 保护 ， 用 户 还 应 该 限制 SSH 会 话 协商 ， 只 允许 会 话 用 于 同 用 户 经 常 使 用 
的 几 个 可 信 系 统 进行 通信 。 

配置 管理 的 一 个 重要 部 分 就 是 确保 网 络 使 用 合理 的 路 由 协议 。 避 免 使 用 路 由 信息 协议 
(RIP) ，RIP 很 容易 被 欺骗 而 接受 不 合法 的 路 由 更 新 。 用 户 可 以 配置 边界 网 关 协 议 (BGP) 和 
开放 最 短路 径 优先 协议 〈OSPF ) 等 协议 ， 以 便 在 接受 路 由 更 新 之 前 ， 通 过 发 送 口令 的 MD5 
散 列 ， 使 用 口令 验证 对 方 。 以 上 措施 有 助 于 确保 系统 接受 的 任何 路 由 更 新 都 是 正确 的 。 


8.3 网 络 攻击 安全 防范 


由 于 网 络 应 用 的 不 断 增多 ， 网 络 安全 问题 也 越 来 越 突 出 ， 且 计算 机 网 络 连接 形式 的 多 样 
性 、 终 端 分 布 的 不 均匀 性 、 网 络 的 开放 性 和 网 络 资源 的 共享 性 等 因素 ， 致 使 网 络 容易 遭受 病 
毒 、 黑 客 、 亚 意 软件 和 其 他 不 轨 行 为 的 攻击 。 为 确保 信息 的 安全 与 畅通 ， 研 究 网 络 的 安全 与 
防范 措施 显得 非常 重要 。 


8.3.1 IP 欺骗 防范 


IP 欺骗 技术 就 是 伪造 某 台 计算 机 的 瑟 地 址 技术 。 通 过 IP 地 址 的 伪造 ， 使 得 某 台 计算 机 
能 够 伪装 成 另 一 台 计 算 机 ， 且 这 人 台 计 算 机 《伪造 者 ) 需要 具有 某 种 特权 或 者 被 另外 的 计算 机 
〈 被 伪造 者 ) 所 信任 。 

JP 欺骗 通常 要 用 编写 的 程序 来 实现 。 通 过 使 用 raxSocket 编程 ， 发 送 带 有 假冒 的 源 P 地 
址 的 数据 包 ， 来 达到 自己 的 目的 。 另 外 ， 目 前 网 络 中 ， 也 存在 大 量 可 发 送 伪造 IP 地 址 的 工具 
包 ， 使 用 它们 可 以 任意 指定 源 瑟 地 址 ， 以 免 留 下 自己 的 痕迹 。 


卫 欺骗 由 若干 步骤 组 成 。 在 进行 P 欺骗 前 ， 首 先 假定 目标 计算 机 已 经 选 定 ， 其次， 信任 
模式 已 被 发 现 ， 并 找到 了 一 个 被 目标 计算 机 信任 的 计算 机 。 黑 客 为 了 进行 卫 欺骗 ， 进 行 以 下 
工作 : 使 得 被 信任 的 计算 机 丧失 工作 能 力 ， 同 时 采样 目标 计算 机 发 出 的 TCP 序列 号 ， 猜 测 出 
它 的 数据 序列 号 ， 然 后 ， 伪 装 成 被 信任 的 计算 机 ， 并 建立 起 与 目标 计算 机 基于 地 址 验证 的 应 
用 连接 。 如 果 成 功 ， 黑 客 可 以 使 用 一 种 简单 的 命令 放置 一 个 系统 后 门 ， 以 进行 非 授权 操作 。 

口 使 被 信任 计算 机 丧失 工作 能 力 

一 且 发 现 被 信任 的 计算 机 ， 为 了 伪装 成 它 ， 要 使 其 丧失 工作 能 力 。 由 于 攻击 者 将 要 代替 
真正 的 被 信任 计算 机 ， 所 以 必须 确保 真正 被 信任 的 计算 机 不 能 接收 到 任何 有 效 的 网 络 数据 ， 
否则 将 会 被 揭穿 。 有 许多 方法 可 以 做 到 这 些 ， 如 “TCP SYN 淹没 ”。 

在 建立 TCP 连接 时 第 一 步 由 客户 端 向 服务 器 发 送 SYN 请 求 ; 通常 , 服务 器 将 向 客户 端 发 
送 SYN/ACK 信号 (这 里 客户 端 是 由 了 P 地 址 确定 的 ) 。 客 户 端 随后 向 服务 器 发 送 ACK， 然 后 
数据 传输 就 可 以 进行 了 。 然 而 ，TCP 处 理 模块 有 一 个 处 理 并 行 SYN 请 求 的 最 上 限 ， 它 可 以 看 
作 是 存放 多 条 连接 的 队列 长 度 。 其 中 ， 连 接 数 目 包括 了 那些 三 步 握 手法 没有 最 终 完成 的 连接 ， 
也 包括 了 那些 已 成 功 完成 握手 ， 但 还 没有 被 应 用 程序 所 调用 的 连接 。 如 果 达 到 队列 的 最 上 限 ， 
TCP 将 拒绝 所 有 连接 请 求 ， 直 至 处 理 了 部 分 连接 链 路 。 因 此 ， 这 里 是 有 机 可 乘 的 。 

黑客 向 被 进攻 目标 的 TCP 端口 发 送 大 量 SYN 请 求 , 这 些 请 求 的 源 地 址 是 使 用 一 个 合法 的 
但 是 虚假 的 他 地 址 (可 能 使 用 该 合法 人 P 地 址 的 计算 机 没有 开机 ) 。 而 受 攻击 的 计算 机 却 会 向 
该 他 地 址 发 送 响 应 的 ,但 始终 接受 不 到 确认 信息 ,此 时 ,IP 数 据 包 会 通知 受 攻击 计算 机 的 TCP: 
该 目标 计算 机 不 可 到 达 ， 不 过 TCP 会 认为 是 一 种 暂时 错误 ， 并 继续 尝试 连接 (比如 继续 对 该 
JP 地 址 进行 路 由 ， 发 出 SYN/ACK 数据 包 等 ) ， 直 至 确信 无 法 连接 。 

这 时 , 已 进行 了 很 长 时 间 。 需要 注意 的 是 , 黑客 们 是 不 会 使 用 那些 正在 工作 的 他 地址 的 ， 
因为 这 样 ， 真 正 IP 持 有 者 会 收 到 SYN/ACK 响应 ， 而 随 之 发 送 RST (Reset The Connection， 
连接 复位 ) 给 受 攻击 主机 ， 从 而 断 开 连 接 。 前 面 所 描述 的 过 程 可 以 表示 为 如 下 模式 。 


iA B) 一 一 一 SYN 一 一 一 > 站 

人 

和 AB 一 一 一 SYN 一 一 一 广 直 
2B <===SYNACK== 万 
B < 一 一 一 SYNACK 一 一 C 
B== == 


在 时 刻 1 时 ， 攻 击 计算 机 (B) 发 送 大 量 的 SYN 请 求 给 受 攻击 目标 〈C) ， 使 其 TCP 队 
列 充满 。 在 时 刻 2 时 ， 受 攻击 目标 〈C) 向 它 所 相信 的 JP 地 址 《虚假 的 卫 ) 作出 SYN/ACK 
反应 。 在 这 一 期 间 ， 受 攻击 主机 的 TCP 模块 会 对 所 有 新 的 请 求 予以 忽视 。 不 同 的 TCP 保持 连 
接 队列 的 长 度 是 有 所 不 同 (BSD 一 般 是 5，Linux 一 般 是 6) 。 使 被 信任 主机 (A) 失去 处 理 新 
连接 的 能 力 ， 所 赢得 的 空隙 时 间 就 是 黑客 进行 攻击 目标 主机 (C) 的 时 间 ， 这 使 其 伪装 成 被 信 
任 主机 成 为 可 能 。 

口 序列 号 取样 和 猜测 

要 对 目标 进行 攻击 ， 必 须知 道 目标 计算 机 使 用 的 数据 包 序列 号 。 黑 客 是 如 何 进 行 预测 的 


呢 ? 他 们 首先 与 被 攻击 计算 机 的 一 个 端口 (SMTP 是 一 个 很 好 的 选择 ) 建立 起 正常 的 连接 。 通 
常 ， 这 个 过 程 被 重复 若干 次 ， 并 将 目标 计算 机 最 后 所 发 送 的 初始 的 序列 号 (SEQ 标志 ) ISN 
存储 起 来 。 

另外 ， 黑 客 还 需要 估计 目标 计算 机 与 被 信任 计算 机 之 间 的 RTT 时 间 (往返 时 间 ) ， 这 个 
RTT 时 间 是 通过 多 次 统计 平均 求 出 的 。RTT 对 于 估计 下 一 个 ISN 是 非常 重要 的 。 其 中 ， 每 秒 
钟 ISN 增加 128000， 每 次 连接 增加 64000。 这 样 ， 就 不 难 估计 出 ISN 的 大 小 ， 它 是 128000 乘 
以 RTT 的 一 半 ， 如 果 此 时 目标 计算 机 刚刚 建立 过 一 个 连接 ， 那 么 再 加 上 一 个 64000。 估 计 出 
ISN 大 小 后 ， 立 即 开始 进行 攻击 。 当 黑客 伪造 的 TCP 数据 包 进 入 目标 计算 机 时 ， 根 据 估计 的 
准确 度 不 同 ， 将 会 发 生 不 同 的 情况 。 

如 果 估 计 的 序列 号 是 准确 的 ， 进 入 的 数据 将 被 放置 在 接收 缓冲 器 以 供 使 用 。 

如 果 估 计 的 序列 号 小 于 期 待 的 数字 ， 那 么 将 被 放弃 。 

如 果 估计 的 序列 号 大 于 期 待 的 数字 ， 并 且 在 滑动 窗口 〈 缓 冲 ) 之 内 ， 那 么 该 数据 被 认为 
是 一 个 未 来 的 数据 ，TCP 模块 将 等 待 其 他 缺少 的 数据 。 如 果 估 计 的 序列 号 大 于 期 待 的 数字 ， 
但 不 在 滑动 窗口 〈 缓 冲 ) 之 内 ,那么 TCP 将 会 放弃 该 数据 并 返回 一 个 期 望 获得 的 数据 序列 号 。 


在 典型 的 也 地址 欺骗 中 ， 攻 击 者 通常 伪造 数据 包 的 发 送 地 址 ， 以 表明 自己 来 自 内 网 。 针 
对 这 一 攻击 手段 讨论 3 种 防范 方法 。 

口 阻止 IP 地 址 

防止 忆 欺 骗 的 一 种 有 效 方法 是 阻止 可 能 造成 风险 的 下 地 址 ,不 管 采用 的 攻击 方式 是 什么 ， 
攻击 者 可 以 伪造 任何 IP 地 址 , 最 常 被 伪造 的 人 P 地 址 是 私 网 了 P 地 址 和 其 他 类 型 的 共享 /特殊 全 
地 址 ， 如 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、127.0.0.0/8、224.0.0.0/3 及 169.254.0.0/16 
等 这 些 网 络 卫 地 址 。 

所 有 上 面 这 些 地 址 要 么 是 在 互联 网 上 不 可 路 由 的 私 网 人 P 地 址 ， 要 么 是 用 作 其 他 用 途 而 根 
本 不 应 该 在 互联 网 上 的 了 P 地 址 。 如 果 从 互联 网 上 进入 的 数据 包 有 这 些 IP 源 地 址 ,那么 可 判定 
是 骗 人 的 。 

口 采用 访问 控制 列表 (ACLS) 

阻止 IP 坎 骗 的 最 简单 方法 是 对 所 有 互联 网 数据 进行 进 站 过 滤 。 过 滤 时 将 丢弃 所 有 来 自 
10.0.0.0/8、172.16.0.0/12、192.168.0.0/116、127.0.0.0/8、224.0.0.0/3、169.254.0.0/16 这 些 人 地 
址 的 数据 包 。 也 就 是 说 ， 通 过 创建 一 张 访问 控制 列表 ， 丢 弃 所 有 来 自 上 述 范围 内 的 耳 地址 的 
入 站 数据 。 这 里 是 一 个 配置 的 示例 。 


根据 RFC 2267 规定 ， 互 联网 服务 提供 商 〈ISP) 必须 在 网 络 上 使 用 类 似 这 一 类 的 过 滤 。 
注意 末尾 处 ACL 包含 拒绝 所 有 (permit ip any any) 规则 。 在 一 些 中 小 型 企业 中 ， 则 可 利用 一 
台 拥 有 状态 式 防火 墙 (stateful fireful) 的 路 由 器 ， 保 护 内 部 局 域 网 。 

另外 ， 利 用 创建 访问 列表 方式 ， 还 能 够 过 滤 所 有 来 自 内 网 中 其 他 子 网 的 进 站 信息 ， 以 便 
保证 局 域 网 子 网 间 进行 IP 地 址 欺骗 ,或 者 实施 出 站 ACL 来 防止 本 网 络 中 的 用 户 伪造 其 他 网 络 
的 也 地 址 。 

口 使 用 反 向 路 径 转 发 

另 一 个 避免 IP 地 址 欺骗 的 方法 是 使 用 反 向 路 径 转 发 (Reverse Path Forwarding)， 也 称 为 
IP 验证 。 在 Cisco IOS 中 ， 反 向 路 径 转 发 的 命令 以 ip verify 开头 。 

RPF 的 工作 原理 和 反 垃 圾 邮件 解决 方案 非常 类 似 。 反 垃圾 邮件 解决 方案 是 收 到 了 邮件 消 
息 后 ， 先 提出 源 邮 件 地 址 ， 然 后 执行 向 发 送 服务 器 查询 的 操作 ， 确 定 发 送 者 是 否 真 的 在 发 出 
消息 的 服务 器 上 存在 。 如 果 发 送 者 不 存在 ， 服 务 器 则 丢弃 该 邮件 消息 ， 因 为 根本 无 法 回复 这 
种 消息 ， 而 且 大 体 上 属于 垃圾 邮件 。 

RPF 对 数据 包 所 作 的 操作 与 此 类 似 。 它 从 互联 网 收 到 数据 包 ， 取 出 源 他 地 址 ， 然 后 查看 
该 路 由 器 的 路 由 表 中 是 否 有 该 数据 包 的 路 由 信息 。 如 果 路 由 表 中 没有 其 用 于 数据 返回 的 路 由 
信息 , 那么 该 数据 包 极 有 可 能 是 某 人 伪造 的 , 于 是 路 由 便 把 它 丢 弃 。 下 面 是 在 路 由 器 配置 RPF 
的 方法 。 


8.3.2 ”Ping 攻击 防范 


常用 的 Ping 命令 ， 是 用 来 检查 网 络 是 否 畅通 的 一 个 简单 且 有 效 的 工具 。 但 有 时 也 能 给 
Windows 系统 带 来 不 可 预测 的 灾难 〈 系 统计 溃 )， 那 就 是 Ping 攻击 ， 即 所 谓 的 ICMP 攻击 , 后 
果 非 常 严重 。 


Ping 攻击 , 实际 上 就 是 通过 Ping 大 量 的 数据 包 , 使 得 计算 机 的 CPU 使 用 率 居 高 不 下 而 月 
溃 。 一 般 情 况 下 ， 黑 客 通常 在 一 个 时 段 内 连续 向 计算 机 发 出 大 量 请 求 导致 CPU 占用 率 太 高 而 


死机 。 基 于 Ping 的 攻击 可 以 分 为 两 大 类 ， 一 是 Ping 攻击 导致 拒绝 服务 (DoS); 另外 一 个 是 
基于 重 定向 〈redirect) 的 路 由 欺骗 技术 。 

其 中 ， 拒 绝 服务 攻击 是 最 容易 实施 的 攻击 行为 。 目 前 ， 基 于 Ping 的 攻击 绝 大 部 分 都 可 以 
归 类 为 拒绝 服务 攻击 ， 其 又 可 以 分 成 针对 带宽 的 DoS 攻击 、 针 对 主机 的 DoS 攻击 和 针对 连接 
的 DoS 攻击 3 种 。 

口 针对 带宽 的 Dog 攻击 

针对 带宽 的 Dog 攻击 , 主要 是 利用 无 用 的 数据 来 耗 尽 网 络 带 宽 。Pingflood、pong、echok、 
flushot、 fraggle 和 bloop 是 常用 的 Ping 攻击 工具 。 通过 高 速 发 送 大 量 的 ICMP Echo Reply 数据 
包 , 目标 网 络 的 带宽 瞬间 就 会 被 耗 尽 , 从 而 阻止 了 合法 的 数据 通过 网 络 。 由 于 ICMP Echo Reply 
数据 包 具 有 较 高 的 优先 级 ， 所 以 在 一 般 情况 下 ， 网 络 总 是 允许 内 部 计算 机 使 用 Ping 命令 。 

这 种 攻击 仅 限于 攻击 网 络 带宽 ， 单 个 攻击 者 就 能 发 起 这 种 攻击 。 更 厉害 的 攻击 形式 ， 如 
smurf 和 papa-smurf， 可 以 使 整个 子 网 内 的 计算 机 对 目标 计算 机 进行 攻击 ， 从 而 扩大 ICMP 流 
量 。 使 用 适当 的 路 由 过 滤 规 则 可 以 部 分 防止 此 类 攻击 ， 如 果 想 完全 防止 这 种 攻击 ， 就 需要 使 
用 基于 状态 检测 的 防火 墙 。 

口 针对 主机 的 Dog 攻击 

针对 主机 的 Dog 攻击 ， 主 要 是 攻击 操作 系统 的 漏洞 。“Ping of Death” 及 其 相关 的 攻击 利 
用 计算 机 操作 系统 的 漏洞 直接 对 目标 计算 机 发 起 攻击 。 

早期 路 由 器 对 包 的 最 大 尺寸 都 有 限制 ， 许 多 操作 系统 对 TCP/IP 栈 的 实现 在 ICMP 包 上 都 
是 规定 64KB， 并 且 在 对 包 的 标题 头 进行 读 取 之 后 ， 要 根据 该 标题 头 里 包含 的 信息 来 为 有 效 载 
荷 生成 缓冲 区 ， 当 产生 畸形 的 ， 声 称 自己 的 尺寸 超过 ICMP 上 限 的 包 也 就 是 加 载 的 尺寸 超过 
64KB 上 限时 ， 就 会 出 现 内 存 分 配 错误 ， 导 致 TCPJIP 堆栈 崩溃 ， 致 使 接收 方 宕 机 。 

根据 这 个 原理 , 通过 发 送 一 个 非法 的 ICMP Echo Request 数据 包 ， 就 能 够 使 目标 系统 崩溃 
或 重启 。 许 多 系统 包括 Windows、UNIX、Macintosh， 甚 至 还 有 一 些 路 由 器 和 打印 机 ， 都 容易 
遭受 此 类 攻击 。 

如 果 用 户 使 用 的 操作 系统 的 版 本 过 旧 ， 请 确保 是 否 打 好 了 补丁 。 这 类 攻击 包括 pinger、 
pingexploit、jolt、jolt2、Sping、Ssping、IceNewk 和 ICMPbug。 一 个 能 执行 详细 数据 包 完 整 性 
检测 的 防火 墙 ， 可 以 防止 所 有 这 种 类 型 的 攻击 。 

口 针对 连接 的 DoS 攻击 

针对 连接 的 DoS 攻击 ， 可 以 终止 现 有 的 网 络 连 接 。 针 对 网 络 连接 的 DoS 攻击 会 影响 所 有 
的 IP 设备 ， 因 为 它 使 用 了 合法 的 ICMP 消息 。 例 如 ，Nuke 攻击 通过 发 送 一 个 伪造 的 ICMP 
Destination Unreachable 或 Redirect 消息 来 终止 合法 的 网 络 连接 。 更 具 恶 意 的 攻击 ， 如 puke 和 
smack， 会 给 某 一 个 范围 内 的 端口 发 送 大 量 的 数据 包 ， 毁 掉 大 量 的 网 络 连接 ， 同 时 还 会 消耗 受 
害 计算 机 CPU 的 时 钟 周期 。 

还 有 一 些 攻击 使 用 ICMP Source Quench 消息 ， 导 致 网 络 流量 变 慢 ， 甚 至 停止 。Redirect 
和 Router Announcement 消息 用 来 强制 受 攻击 计算 机 使 用 一 个 并 不 存在 的 路 由 器 ， 并 把 数据 包 
路 由 到 攻击 者 的 计算 机 进行 攻击 。 针 对 连接 的 DogS 攻击 不 能 通过 打 补 丁 的 方式 加 以 解决 ， 需 
要 过 滤 适 当 的 ICMP 消息 类 型 ， 一 般 防火 墙 可 以 阻止 此 类 攻击 。 

口 基于 重 定向 的 路 由 欺骗 技术 

微软 的 Windows Server 2003 和 2008 系统 中 ， 都 保持 着 一 张 已 知 的 路 由 器 列表 ， 位 于 第 


一 项 的 路 由 器 是 默认 路 由 器 ， 如 果 默 认 路 由 器 关闭 ， 则 位 于 列表 第 二 项 的 路 由 器 成 为 默认 路 
由 器 。 默 认 路 由 器 向 发 送 者 报告 另 一 条 到 特定 计算 机 的 更 短路 由 ， 就 是 ICMP 重 定向 。 
攻击 者 可 利用 ICMP 重 定向 报 文 破坏 路 由 ， 以 此 增强 其 窃听 能 力 。 除 了 路 由 器 ， 计 算 机 
必须 服从 ICMP 重 定向 。 如 果 一 台 计算 机 要 向 网 络 中 的 另 一 台 计算 机 发 送 一 个 ICMP 重 定向 消 
息 ， 这 就 可 能 引起 其 他 计算 机 具有 一 张 无 效 的 路 由 表 。 若 一 台 计算 机 伪装 成 路 由 器 ， 截 获 所 
有 到 某 些 目标 网 络 或 全 部 目标 网 络 的 卫 数据 包 ， 这 样 形成 了 窃听 。 
另外 ， 通 过 ICMP 技术 还 可 对 防火 墙 后 的 计算 机 进行 攻击 和 窃听 。 


判断 是 否 存在 这 种 攻击 的 方法 只 需 判 断 数据 包 的 大 小 是 否 大 于 65535 字 节 。 反 攻击 的 方 
法 是 使 用 新 的 补丁 程序 ， 当 收 到 大 于 65535 字 节 的 数据 包 时 ， 丢 弃 该 数据 包 ， 并 进行 系统 
审计 。 

目前 所 有 的 标准 TCP/IP 协议 ， 都 具有 对 付 超 过 64KB 大 小 的 数据 包 的 能 力 ， 且 大 多 数 具 
有 防火 墙 功 能 的 路 由 器 ， 能 够 通过 对 数据 包 中 的 信息 和 时 间 间 隔 的 分 析 ， 自 动 过 滤 这 些 攻 击 。 
Windows 98、Windows NT 4.0 (SP3 之 后 )、Windows 2000/XP/Server 2003、Linux 和 Solaris 
等 系统 都 已 具有 抵抗 一 般 的 “Ping of death” 拒 绝 服务 攻击 的 能 力 。 此 外 ， 对 防火 墙 进行 配置 ， 
阻 断 ICMP 及 任何 未 知 协议 数据 包 ， 都 可 以 防止 此 类 攻击 的 发 生 。 


8.3.3 ”DoS 和 DDoS 攻击 防范 


DoS (Denial of Service 拒绝 服务 ) 和 DDoS (Distributed Denial of Service 分 布 式 拒绝 服务 ) 
攻击 是 大 型 网 站 和 网 络 服务 器 的 安全 威胁 之 一 。 它 们 通过 占用 网 络 资源 ， 使 其 他 计算 机 不 能 
进行 正常 访问 ， 从 而 导致 宕 机 或 网 络 瘫痪 。 

在 DoS 和 DDoS 攻击 中 ， 主 要 分 为 Smurf、SYN Flood 和 Fraggle3 种 。 在 Smnurf 攻击 中 ， 
攻击 者 使 用 ICMP 数据 包 阻 塞 服务 器 和 其 他 网 络 资源 ，SYN Flood 攻击 使 用 数量 巨大 的 TCP 
半 连 接 来 占用 网 络 资源 ; Fraggle 攻击 与 Smurf 攻击 原理 类 似 , 使 用 UDP echo 请 求 而 不 是 ICMP 
echo 请 求 发 起 攻击 。SYN Flood 由 于 其 攻击 效果 好 ， 已 经 成 为 目前 最 流行 的 DoS 和 DDoS 攻 
击 手段 。 

SYN Flood 利用 TCP 协议 缺陷 ， 发 送 了 大 量 伪造 的 TCP 连接 请 求 ， 使 得 被 攻击 方 资源 耗 
尽 ， 无 法 及 时 回应 或 处 理 正常 的 服务 请 求 。 一 个 正常 的 TCP 连接 需要 三 次 握手 ， 首 先 客户 端 
发 送 一 个 包含 SYN 标志 的 数据 包 ， 其 后 服务 器 返回 一 个 SYN/ACK 的 应 答 包 ， 表 示 客 户 端的 
请 求 被 接受 ， 最 后 客户 端 再 返回 一 个 确认 包 ACK， 这 样 才 完 成 TCP 连接 。 在 服务 器 端 发 送 应 
答 包 后 ， 如 果 客 户 端 不 发 出 确认 ， 服 务 器 会 等 待 到 超时 ， 期 间 这 些 半 连接 状态 都 保存 在 一 个 
空间 有 限 的 缓存 队列 中 ; 如 果 大 量 的 SYN 包 发 送 到 服务 器 端 后 ， 服 务 器 没有 作出 应 答 ， 就 会 
使 服务 器 端的 TCP 资源 迅速 耗 尽 ， 导 致 正常 的 连接 不 能 进入 , 甚至 会 导致 服务 器 的 系统 崩溃 。 

尽管 网 络 安全 专家 都 在 着 力 开发 阻止 DoS 和 DDoS 攻击 的 设备 ， 但 收效 不 大 (因为 DoS 
和 DDoS 攻击 利用 了 TCP 协议 本 身 的 弱点 )。 正 确 配置 路 由 器 能 够 有 效 防 止 这 些 攻击 , 在 此 以 
Cisco 路 由 器 为 例 , 因为 在 Cisco 路 由 器 中 的 IOS 软件 具有 许多 防止 DoS 和 DDoS 攻击 的 特性 ， 
保护 路 由 器 自身 和 内 部 网 络 的 安全 。 


扩展 访问 列表 是 防止 DoS 和 DDoS 攻击 的 有 效 工 具 , 它 既 可 以 用 来 探测 DoS 和 DDoS 攻 
击 的 类 型 ， 也 可 阻止 这 些 攻 击 。Show ip access-list 命令 能 够 显示 每 个 扩展 访问 列表 的 匹配 数 
据 包 ,根据 数据 包 的 类 型 ， 用 户 就 可 以 确定 DoS 和 DDoS 攻击 的 种 类 。 

如 果 网 络 中 ， 出 现 了 大 量 建立 TCP 连接 的 请 求 ， 这 表明 网 络 受到 了 SYN Flood 攻击 ， 此 
时 用 户 则 可 以 改变 访问 列表 的 配置 阻止 DoS 和 DDoS 攻击 。 


使 用 服务 质量 优化 QoS) 特征， 如 加 权 公平 列队 (WFQ)、 承 诺 访问 速率 (CAR)、 一 
般 流量 整形 (GTS)〉 及 定制 列队 (CQ) 等 ， 都 可 以 有 效 阻 止 DoS 和 DDoS 攻击 。 需 要 注意 的 
是 ， 不 同 的 QoS 策略 对 付 不 同 DoS 和 DDoS 攻击 的 效果 是 有 差别 的 。 

例如 ，WFQ 对 付 Ping Flood 攻击 要 比 防 止 SYN Flood 攻击 更 有 效 ， 这 是 因为 Ping Flood 
通常 会 在 WFQ 中 表现 为 一 个 单独 的 传输 列队 , 而 SYN Flood 攻击 中 的 每 一 个 数据 包 都 会 表现 
为 一 个 单独 的 数据 流 。 

此 外 ， 可 以 利用 CAR 来 限制 ICMP 数据 包 流 量 的 速度 ， 防 止 Smurf 攻击 ， 也 可 用 来 限制 
SYN 数据 包 的 流量 速度 , 防止 SYN Flood 攻击 。 使 用 QoS 防止 DoS 和 DDoS 攻击 ， 需 要 用 户 
弄 清楚 QoS 以 及 DoS 和 DDoS 攻击 的 原理 , 这 样 才能 针对 不 同类 型 的 DoS 和 DDoS 攻击 采取 
相应 的 防范 措施 。 


逆向 转发 (RPF) 是 路 由 器 的 一 个 输入 功能 ， 该 功能 用 来 检查 路 由 器 接口 所 接收 的 每 一 个 
数据 包 。 如 果 路 由 器 接收 到 一 个 源 IP 地 址 为 10.10.10.1 的 数据 包 ， 但 CEF (Cisco Express 
Forwarding) 路 由 表 中 没有 为 该 IP 地 址 提供 任何 路 由 信息 ， 则 路 由 器 将 会 丢弃 该 数据 包 。 
此 ， 首 向 转发 能 够 阻止 Smurf 攻击 和 其 他 基于 IP 地 址 伪装 的 攻击 。 

使 用 RPF 功能 需要 将 路 由 器 设置 为 快速 转发 模式 (CEF switching), 并 且 不 能 将 启用 RPF 
功能 的 接口 配置 为 CEF 交换 。RPF 在 防止 IP 地 址 欺骗 方面 比 访问 列表 具有 优势 ， 首 先 ， 它 能 
够 动态 地 接收 动态 和 静态 路 由 表 中 的 变化 ; 其 次 ，RPF 所 需要 的 操作 维护 较 少 ， 最 后 ，RPF 
作为 一 个 反 欺骗 的 工具 ， 对 路 由 器 本 身 产生 的 性 能 冲击 ， 要 比 使 用 访问 列表 小 得 多 。 


Cisco 公司 在 IOS 11.3 版 以 后 , 引入 了 TCP 拦截 功能 , 这 项 功能 可 以 有 效 防止 SYN Flood 
攻击 内 部 计算 机 。 

在 TCP 连接 请 求 到 达 目 标 计算 机 之 前 ，TCP 拦截 通过 拦截 和 验证 来 阻止 这 种 攻击 。TCP 
拦截 可 以 在 拦截 和 监视 两 种 模式 下 工作 。 在 拦截 模式 下 ， 路 由 器 拦截 到 达 的 TCP 同步 请 求 ， 
并 代表 服务 器 建立 与 客户 端 计 算 机 的 连接 ， 如 果 连 接 成 功 ， 则 代表 客户 端 计算 机 建立 了 与 服 
务 器 的 连接 ， 并 将 两 个 连接 进行 透明 合并 。 在 整个 连接 过 程 中 ， 路 由 器 会 一 直 拦 截 和 发 送 数 
据 包 。 对 于 非法 的 连接 请 求 ， 路 由 器 提供 更 为 严格 的 对 于 半 连 接 的 超时 限制 ， 以 防止 自身 的 
资源 被 SYN 攻击 耗 尽 。 在 监视 模式 下 ， 路 由 器 被 动 地 观察 流 经 路 由 器 的 连接 请 求 ， 如 果 连 接 
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超过 了 所 配置 的 建立 时 间 ， 路 由 器 将 会 关闭 此 连接 。 

在 Cisco 路 由 器 上 ， 开 启 TCP 拦截 功能 需要 两 个 步骤 ， 一 是 配置 扩展 访问 列表 ， 以 确定 
需要 保护 的 IP 地 址 ; 二 是 开启 TCP 拦截 。 配 置 访问 列表 是 为 了 定义 需要 进行 TCP 拦截 的 源 
地 址 和 目标 地 址 ， 保 护 内 部 目标 计算 机 或 网 络 。 在 配置 时 ， 用 户 通常 需要 将 源 地 址 设 为 any 
〈 任 何 源 )， 并 且 指 定 具体 的 目标 网 络 或 计算 机 。 如 果 不 配 置 访问 列表 ， 路 由 器 将 会 多 许 所 有 
的 请 求 经 过 。 

@ 5. 使 用 基于 内 容 的 访问 控制 


基于 内 容 的 访问 控制 (CBAC ) 是 对 Cisco 传统 访问 列表 的 扩展 , 它 基 于 应 用 层 会 话 信息 ， 
智能 化 地 过 滤 TCP/UDP 数据 包 ， 防 止 Dos 和 DDoS 攻击 。 

CBCA 通过 设置 超时 时 限 值 和 会 话 门限 值 ， 来 决定 会 话 的 维持 时 间 以 及 何 时 删除 半 连 接 。 
对 TCP 而 言 ， 半 连接 是 指 一 个 没有 完成 三 次 握手 过 程 的 会 话 。 而 对 于 UDP 而 言 ， 半 连接 是 指 
路 由 器 没有 检测 到 返回 流量 的 会 话 。 

CBCA 正 是 通过 监视 半 连 接 的 数量 和 产生 的 频率 来 防止 SYN Flood 攻击 的 。 每 当 有 不 正 
常 的 半 连 接 建 立 或 在 短 时 间 内 出 现 大 量 半 连 接 时 ， 用 户 可 以 判定 是 遭受 了 SYN Flood 攻击 。 
CBCA 每 分 钟 检测 一 次 已 经 存在 的 半 连 接 数 量 和 试图 建立 连接 的 频率 ， 当 已 经 存在 的 半 连 接 
数量 超过 了 门限 值 ， 路 由 器 则 会 删除 一 些 半 连接 ， 以 保证 新 建立 连接 的 需求 ， 路 由 器 持续 删 
除 半 连接 ， 直 到 存在 的 半 连 接 数量 低 于 另 一 个 门限 值 ， 同 样 当 试 图 建立 连接 的 频率 超出 门限 
值 ， 路 由 器 就 会 采取 相同 的 措施 ， 删 除 一 部 分 连接 请 求 ， 并 持续 到 请 求 连接 的 数量 低 于 另 一 
个 门限 值 。 通 过 这 种 连接 不 断 地 监视 和 删除 ，CBCA 可 以 有 效 防止 SYN Flood 和 Fraggle 的 
攻击 。 

路 由 器 是 企业 内 部 网 络 的 第 一 道 保护 屏障 ， 也 是 黑客 攻击 的 一 个 重要 目标 。 如 果 路 由 器 
很 容易 被 攻破 ， 那 么 企业 内 部 网 络 的 安全 也 就 无 从 谈 起 ， 因 此 在 路 由 器 上 采取 适当 的 措施 ， 
防止 各 种 DoS 和 DDoS 攻击 是 非常 必要 的 。 需 要 注意 的 是 ， 以 上 介绍 的 几 种 方法 ， 对 付 不 同 
类 型 的 DoS 和 DDoS 攻击 的 能 力 是 不 同 的 , 对 路 由 器 CPU 和 内 存 等 硬件 资源 的 占用 也 存在 很 
大 的 差别 。 所 以 ， 在 实际 环境 中 ， 用 户 需要 根据 自身 情况 和 路 由 器 的 性 能 来 选择 适当 的 方式 。 
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为 了 使 路 由 器 将 合法 信息 完整 、 及 时 、 安 全 地 转发 到 目的 地 ， 许 多 路 由 器 厂商 开始 在 路 
由 器 中 添加 安全 模块 ， 出 现 了 路 由 器 与 安全 设备 融合 的 趋势 。 但 从 本 质 上 讲 ， 增 加 安全 模块 
的 路 由 器 ， 在 路 由 器 功能 实现 方面 与 普通 路 由 器 没有 区 别 。 所 不 同 的 是 ， 添 加 安全 模块 的 路 
由 器 可 以 通过 加 密 、 认 证 等 技术 手段 增强 报 文 的 安全 性 ， 与 专用 安全 设备 进行 有 效 配合 ， 
提高 路 由 器 本 身 的 安全 性 和 所 管理 网 段 的 可 用 性 。 

在 介绍 路 由 器 所 采用 的 安全 技术 之 前 ， 应 先 来 了 解 一 下 网 络 应 用 环境 对 路 由 器 提出 的 安 
全 要 求 。 

口 完整 性 ”要求 路 由 器 在 转发 报 文 过 程 中 , 保证 信息 不 会 遭 到 偶然 或 蓄意 的 添加 、 删 除 、 

修改 、 重 放 等 破坏 。 
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口 保密 性 要求 路 由 器 保证 信息 在 发 送 过 程 中 不 会 被 窃听 ， 即 使 信息 被 窃听 也 不 能 被 
破译 。 

口 可 用 性 ”要求 路 由 器 保证 系统 或 系统 资源 可 被 授权 用 户 访问 并 校 照 需求 使 用 的 特性 。 

口 可 控 性 要 求 路 由 器 根据 需要 对 转发 信息 进行 安全 监控 ,对 可 疑 的 网 络 信息 进行 分 析 、 
截留 或 其 他 处 理 。 

口 及 时 性 要 求 路 由 器 保证 网 络 信息 能 够 被 及 时 转发 ， 不 会 因 安 全 处 理 而 使 转发 时 间 超 @g) 
出 限度 。 

口 搞 攻 击 性 ”要求 路 由 器 具有 抵抗 网 络 攻击 的 能 力 。 


C 1. 路 由 器 安全 技术 中 

为 了 满足 网 络 应 用 环境 对 路 由 器 的 安全 要 求 ， 许 多 路 由 器 厂商 将 防火 墙 、 传 输 加 密 
(VPN)、IDS、 防 病毒 、URL 过 滤 (访问 控制 )、HA (高 可 用 性 ) 等 技术 引入 路 由 器 。 

口 访问 控制 技术 

用 户 验 证 是 实现 用 户 安全 防护 的 基础 技术 。 路 由 器 上 可 以 采用 多 种 用 户 接 入 的 控制 手段 ， 
如 PPP、Web 登录 认证 、ACL、802.1x 协议 等 ， 保 护 接 入 用 户 不 受 网 络 攻 击 ， 同 时 能 够 阻止 
接 入 用 户 攻击 其 他 用 户 和 网 络 。 基 于 CA 标准 体系 的 安全 认证 ， 将 进一步 加 强 访问 控制 的 安 
全 性 。 

口 传输 加 密 技 术 

IPSec 是 路 由 器 常用 的 数据 加 密 协议 。 借 助 该 协议 ， 路 由 器 支持 建立 虚拟 专用 网 (VPN)。 
IPSec 协议 包括 ESP(Encapsulating Security Payload) 封 装 安全 负载 .AH( Authentication Header) 
报头 验证 协议 及 IKE (Internet Key Exchange) 密 钥 管理 协议 等 ， 可 以 用 在 公共 卫 网络 上 确保 
数据 通信 的 可 靠 性 和 完整 性 ， 能 够 保障 数据 安全 穿越 公 网 而 没有 被 侦 听 。 

由 于 IPSec 的 部 署 简便 ， 只 需 安全 通道 两 端的 路 由 器 或 主机 支持 IPSec 协议 ， 几 乎 不 需 对 
网 络 现 有 基础 设施 进行 更 动 。 这 正 是 IPSec 协议 能 够 确保 包括 远程 登录 、 客 户 机 、 服 务 器 、 电 
子 邮件 、 文 件 传输 及 Web 访问 等 多 种 应 用 程序 安全 的 重要 原因 。 

口 防火 墙 防护 技术 

采用 防火 墙 功 能 模块 的 路 由 器 具有 报 文 过 滤 功 能 ， 能 够 对 所 有 接收 和 转发 的 报 文 进行 过 
滤 和 检查 ， 检 查 策略 可 以 通过 配置 实现 更 改 和 管理 ， 还 可 以 利用 NAT/PAT 功能 隐藏 内 网 拓扑 
结构 ， 进 一 步 实 现 复杂 的 应 用 网 关 (ALG) 功能 。 

另外 ， 有 一 些 路 由 器 可 提供 基于 报 文 内 容 的 防护 。 原 理 是 : 当 报 文通 过 路 由 器 时 ， 防 火 
墙 功能 模块 可 以 对 报 文 与 指定 的 访问 规则 进行 比较 ， 如 果 规 则 允许 ， 报 文 将 接受 检查 ， 否 则 
报 文 直接 被 丢弃 。 如 果 该 报 文 是 用 于 打开 一 个 新 的 控制 或 数据 连接 ， 防 护 功能 模块 将 动态 修 
改 或 创建 规则 ， 同 时 更 新 状态 表 以 创建 与 连接 相关 的 报 文 。 返 回 的 报 文 只 有 属于 一 个 已 经 存 
在 的 有 效 连接 ， 才 会 被 允许 通过 。 

口 入 侵 检测 技术 

在 安全 架构 中 ， 入 侵 检测 (IDS) 是 一 个 非常 重要 的 技术 ， 目 前 有 些 路 由 器 和 高 端 交换 机 
已 经 内 置 IDS 功能 模块 。 内 置 入 侵 检测 模块 需要 路 由 器 具备 完善 的 端口 镜像 (一 对 一 、 多 对 
一 ) 和 报 文 统计 支持 功能 。 
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HA (高 可 用 性 ) 


提高 自身 的 安全 性 ,需要 路 由 器 能 够 支持 备份 协议 (如 VRRP) 和 具有 日 志 管理 功能 ,使 
得 网 络 数据 具备 更 高 的 元 余 性 和 能 够 获取 更 多 的 保障 。 表 8-3 所 示 为 路 由 器 中 安全 机 制 所 对 应 


的 安全 功能 特性 。 
表 8-3 路 由 器 中 安全 机 制 所 对 应 的 安全 特性 
安全 特性 安全 机 制 
完整 性 加 密 、 数 字 答 名、 数据 完整 性 
保密 性 加 密 、 通 信服 务 填 充 、 路 由 选择 
可 用 性 认证 交换 、 数 字 签名 、 访 问 控制 
可 控 性 安全 事件 检测 、 安 全 审计 跟踪 、 数 据 拦 截 
抗 攻击 性 安全 预防 、 安 全 告警 、 日 志 记 录 、 安 全 恢复 

@ 2. 七 层 安全 设计 有 

具体 来 说 ， 人 们 将 依据 不 断 变化 的 网 络 安全 需要 ， 从 以 下 七 个 层面 来 加 强 路 由 器 的 安全 

设计 。 

口 硬件 的 安全 保障 ”模块 化 的 硬件 结构 体系 结构 。 

口 软件 的 安全 保障 ”自主 知识 产权 的 操作 系统 ; 操作 系统 拥有 高 度 模 块 化 结构 ， 能 够 实 
施 进程 空间 隔离 、 数 据 流 和 控制 流 空间 隔离 。 

口 链 路 层 的 安全 保障 ”广域网 上 采用 PPP 认证 和 EAP-TLS; 以 太 网 上 采用 802.1x、 MAC 
地 址 /端口 绑 定 、VLAN 隔离 和 EAP-TLS; 对 流量 峰值 设置 阅 值 ， 通 过 流量 限 速 抵御 
DoS 攻击 。 

口 网 络 层 和 传输 层 的 安全 保障 IPSec 协议 、AH/ESP/IKE、3DES 等 ; 基于 IP 的 报 文 过 
滤 ; 对 ICMP 各 种 类 型 报 文 的 过 滤 处 理 ; 根据 TCP/UDP 报 文 头 选项 进行 过 滤 ; 网 络 
处 理 器 实现 分 类 和 过 滤 功 能 ， 保 证 线 速 。 

口 路 由 安全 OSPF/BGP/RIP2/IS-IS/RSVP/LDP 支持 各 种 认证 方式 (不 认证 、 明 文 认证 、 
HMAC-MD5 认证 )。 

口 应 用 层 的 安全 保障 ”防火墙 模块 。 

口 实现 管理 安全 的 手段 SSL (人 安全套 接 字 ) 保证 Web 和 CLI (命令 行 界面 ) 管理 的 安 
全 通道 ; SSH 替代 Telnet 的 明文 管理 通道 ; 多 种 用 户 登 录 验 证 方式 ; 命令 行 分 级 视图 
管理 ; 管理 访问 策略 控制 ( 源 地 址 、 登 录 端 口 、 登 录 时 间 控 制 ) 支持 SNMPv3。 表 
8-4 为 七 层 安全 设计 所 对 应 的 路 由 器 安全 特性 。 

表 8-4 七 层 安全 设计 及 对 应 的 路 由 器 安全 特性 
安全 特性 ”硬件 系统 软件 。” 链 路 层 网 络 层 传输 层 应 用 层 网 络 管理 
完整 性 不 支持 不 支持 不 支持 支持 支持 支持 支持 
保密 性 不 支持 不 支持 支持 支持 支持 支持 支持 
可 用 性 不 支持 支持 支持 支持 支持 支持 支持 
可 控 性 不 支持 不 支持 不 支持 支持 支持 支持 支持 


抗 攻击 性 ”支持 支持 不 支持 不 支持 支持 支持 支持 
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路 由 器 是 一 个 庞大 的 家 族 ， 核 心路 由 器 和 边缘 分 支 路 由 器 从 结构 到 技术 原理 都 有 很 大 不 
同 ， 因 此 不 同 级 别 的 路 由 器 的 安全 侧重 点 是 不 同 的 。 

例如 ， 远 程 分 支 路 由 器 主要 集成 较为 完善 的 加 密 和 VPN 功能 ， 能 够 在 用 户 端 对 数据 进行 
加 密 或 者 建立 VPN 通道 ， 这 样 可 以 保证 信息 在 广域网 上 安全 地 传递 。 而 对 于 在 网 络 中 位 于 核 Cs1) 
心 位 置 的 高 端 路 由 器 ， 则 需要 综合 化 的 安全 实现 措施 ， 首 先 路 由 器 需要 具备 完善 的 用 户 接 入 
认证 和 控制 功能 ， 其 次 ， 路 由 器 在 应 用 程序 过 滤 、 入 侵 检测 等 方面 不 仅 应 具备 更 强大 的 能 力 ， 
还 应 该 具备 支持 人 P 报 文 加 密 、MPLS (Multi-Protocol Label Switching， 多 协议 标记 交换 ) 等 技 
术 。 可 以 说 ， 中 低 端 路 由 器 只 需 在 路 由 软件 中 增加 特性 或 者 通过 添加 硬件 加 密 卡 即 可 实现 安 
全 功能 ;而 高 端 路 由 器 则 需要 综合 采用 多 种 安全 措施 。 

为 了 使 路 由 器 在 经 过 诸多 与 安全 相关 的 复杂 报 文 处 理 之 后 ， 处 理性 能 不 会 下 降 ， 还 出 现 
了 以 网 络 处 理 器 (NP) 为 核心 构建 高 端 路 由 器 的 方式 。 网 络 处 理 器 能 够 较 好 解决 高 端 路 由 器 
的 业务 能 力 和 性 能 之 间 了 矛盾 的 问题 ， 同 时 也 适应 网 络 安全 变化 迅速 的 特征 ， 代 表 了 路 由 器 未 
来 的 发 展 方向 之 一 。 


8.4 使 用 SDM 配置 路 由 器 


简单 地 说 ，SDM 是 一 款 基 于 图 形 化 的 路 由 器 配置 和 管理 工具 ， 拥 有 直观 的 操作 界面 和 强 
大 的 功能 ， 适 用 于 初级 网 络 管理 员 。 即 使 用 户 不 了 解 命令 行 界面 (CLI) ， 同 样 可 以 通过 智能 
向 导 帮 助 客 户 快速 轻松 地 部 署 、 配 置 并 监控 思科 路 由 器 ， 这 使 得 配置 工作 更 加 简洁 方便 。 


8.4.1 Cisco SDM 简介 


Cisco SDM 是 为 基于 Cisco IOS Software 的 路 由 器 开发 的 一 种 直观 的 Web 设备 管理 工具 ， 
使 客户 无 须 了 解 命令 行 界面 (CLI) 就 能 快速 容易 地 部 署 配置 和 监控 Cisco 系统 路 由 器 。 许 多 
Cisco 路 由 器 和 Cisco IOS Software 版 本 路 由 器 均 可 支持 Cisco SDM, 例如 Cisco 830 系列 Cisco 
1700 系列 、Cisco 1800 系列 、Cisco 2600XM 系列 、Cisco 2800 系列 、Cisco 3600 系列 、Cisco 3700 
系列 、Cisco 3800 系列 以 及 某 些 Cisco 7200 系列 和 Cisco 7301 路 由 器 等 。 其 基本 特征 表现 为 以 
下 几 点 。 


1 1 易 用 性 和 内 置 应 用 智能 


利用 Cisco SDM， 用 户 不 但 能 轻松 地 在 Cisco 路 由 器 上 配置 路 由 、 交 换 、 安 全 和 服务 质量 
(QoS) ; 还 能 通过 性 能 监控 进行 主动 管理 。 目 前 ，Cisco SDM 用 户 可 以 利用 Cisco SDM GUI 
(Cisco SDM 用 户 管理 界面 ) 远 程 配置 和 监控 Cisco 路 由 器 ,而 无 须 使 用 Cisco IOS Software CLI。 
为 Cisco SDM GUI 能 够 帮助 Cisco IOS Software 的 非 专业 用 户 完 成 日 常 操作 ; 提供 易于 使 用 
的 智能 向 导 ， 和 自动 执行 路 由 器 安全 管理 并 通过 全 面 的 在 线 帮 助 和 指导 给 予 用 户 帮 助 。 

Cisco SDM 智能 向 导 ,， 可 指导 用 户 通过 系统 的 配置 LAN、WLAN 和 WAN 接口 、 防 火 墙 、 


入 侵 防 御 系 统 (IPS) 和 了 P Securtiy (IPSec) VPN 来 逐步 完成 路 由 器 和 安全 配置 工作 ， 且 能 够 
以 智能 方式 检测 到 错误 配置 并 提出 修复 建议 。 例 如 ，WAN 接口 由 DHCP 定 址 ， 则 允许 动态 主 
机 配置 协议 (DHCP) 流量 通过 防火 墙 。 除 帮助 用 户 在 Cisco SDM 中 输入 正确 数据 的 详细 步 又 
外 ， 钳 入 在 Cisco SDM 中 的 在 线 帮助 还 提供 了 相应 的 背景 信息 。 用 户 可 能 遇 到 的 网 络 和 安全 
术语 及 定义 包含 在 在 线 词汇 表 中 。 

对 于 熟悉 Cisco IOS Software 及 其 安全 特性 的 网 络 专家 ，Cisco SDM 提供 了 能 够 快速 配置 
和 精确 调整 路 由 器 安全 特性 的 先进 配置 工具 ， 以 便 网 络 专家 先 审核 Cisco SDM 生成 的 命令 再 
提供 路 由 器 配置 更 改 方案 。 

Cisco SDM 帮助 管理 员 利用 安全 套 接 层 (SSL) 和 安全 配置 (SSH v2) 协议 连接 从 远程 位 
置 配置 和 监控 路 由 器 ， 这 种 技术 能 够 通过 互联 网 在 用 户 的 浏览 器 与 路 由 器 之 间 建 立 安全 连接 。 
在 分 支 办 公 室 部 署 时 ， 可 以 从 公司 总 部 配置 和 监控 Cisco SDM 型 路 由 器 ， 因 而 能 减少 分 支 办 
公 室 对 高 级 网 络 管理 员 的 需要 。 


在 部 署 新 的 路 由 器 时 , 可 以 利用 国际 计算 机 安全 协会 (ICSA 和 Cisco 技术 支持 中 心 CTAC) 
推荐 的 最 佳 实践 来 使 用 Cisco SDM 快速 配置 Cisco IOS Software 防火 墙 。 

先进 的 防火 墙 向 导 ， 允 许 高 、 中 、 低 应 用 程序 防火 墙 设置 的 一 步 部 署 。Cisco SDM 用 户 
可 以 配置 最 强 的 VPN 默认 值 并 自动 执行 安全 审计 。 此 外 ，Cisco SDM 用 户 还 可 以 执行 防火 墙 
的 一 步 路 由 器 锁定 ， 并 通过 一 步 VPN 快速 部 署 安全 站 点 到 站 点 连接 。Cisco 推荐 的 与 Cisco 
SDM 捆绑 在 一 起 的 IPS 签名 表 可 以 快速 部 署 蠕虫 病毒 和 协议 攻击 抵御 系统 ,通过 Cisco SDM 
网 络 准 入 控制 (NAC) 向 导 ， 可 以 简单 快速 地 将 NAC 和 客户 机 安全 状态 管理 集成 到 现 有 的 网 
络 基础 架构 中 。 

当 调 用 已 经 配置 好 的 路 由 器 时 ， 利 用 Cisco SDM 用 户 只 需 执行 一 步 安全 审计 ， 即 能 通过 
与 一 般 安全 漏洞 的 对 比 ， 评 估 出 路 由 器 配置 的 优势 和 弱点 。 管 理 员 可 以 精细 调整 现 有 的 路 由 
器 安全 配置 ， 更 好 地 满足 企业 需要 。Cisco SDM 还 可 以 用 于 日 常 操作 ， 如 监控 、 故 障 管理 和 
故障 排除 等 。 


除 安 全 配置 外 , Cisco SDM 还 能 帮助 用 户 执行 路 由 器 服务 配置 ,如 LAN 与 WLAN、WLAN 
和 WAN 接口 配置 、 动 态 路 由 、DHCP 服务 器 以 及 QoS 策略 等 。 

利用 LAN 配置 向 导 ， 用 户 能 为 以 太 网 接口 分 配 IP 地 址 和 子 网 掩 码 ; 启动 或 禁用 DHCP 
服务 器 ; 为 WAN 和 互联 网 接 入 配置 xDSL、TI/E1、 以 太 网 和 ISDN 接口 ; 对 于 串 行 连接 实施 
帧 中 继 、 点 对 点 协议 (PPP) 和 高 级 数据 链 路 控制 (HDLC) 封装 。 不 仅 如 此 ，Cisco SDM 还 
允许 配置 静态 路 由 和 通用 动态 路 由 协议 ， 如 “开放 最 短路 径 优先 ” (OSPF) 、“ 路 由 信息 协 
议 ” (RIPv2) 和 “增强 型 内 部 网 关 路 由 选择 协议 ” (EIGRP) 。 

目前 , 利用 Cisco SDM 可 以 轻松 地 将 QoS 策略 应 用 到 任何 WAN 或 VPN 通道 接口 。QoS 
策略 向 导 具 有 自动 执行 QoS 策略 的 Cisco 体系 结构 原则 ， 能 够 有 效 区 分 实时 应 用 语音 或 视 
频 ) 、 关 键 业 务 应 用 (结构 化 查询 语言 SQL、Oracle、Citrix、 路 由 协议 等 ) 流量 及 其 他 网 络 
流量 (Web 电子 邮件 等 ) 。 借 助 Cisco SDM 中 基于 网 络 的 应 用 程序 识别 (NBAR) 监控 ， 用 


户 能 够 以 可 视 方式 实时 检查 应 用 层 流量 ， 并 不 断 分 析 QoS 策略 对 各 种 应 用 流量 的 影响 。 


在 监控 模式 下 ，Cisco SDM 不 仅 能 够 以 图 形 方式 快速 显示 重要 路 由 器 资源 的 状态 和 性 能 
数据 〈 接 口 状态 〈 正 常 或 不 正常 ) 、CPU 和 内 存 使 用 情况 等 ) ， 还 可 利用 路 由 器 上 的 集成 式 
路 由 和 安全 特性 深入 诊断 WAN 和 VPN 连接 ,并 及 时 排除 故障 。 例 如 ， 当 排除 VPN 连接 故障 
时 ，Cisco SDM 将 检查 从 WAN 接口 层 到 IPSec Crypto Map 层 的 路 由 器 配置 和 连接 ; 当 测 试 每 
个 层次 的 配置 和 远程 对 等 连接 时 ，Cisco SDM 将 提供 成 功 或 失败 状态 、 可 能 的 失败 原因 以 及 
Cisco TAC 〈Cisco 技术 支持 中 心 ) 提出 的 修复 建议 。 

Cisco SDM 监控 模式 ， 不 但 允许 用 户 检查 被 Cisco IOS Software 防火 墙 拒绝 的 网 络 访问 企 
图 次 数 ， 还 可 以 访问 防火 墙 记 录 。 此 外 ， 用 户 还 可 以 监控 详细 的 VPN 状态 信息 ， 如 IPSec 通 
道 加 密 或 解密 的 包 数 以 及 Easy VPN 客户 机 连接 细节 等 。 


Cisco SDM 适合 那些 对 设备 部 署 和 网 络 管理 成 本 敏感 ， 但 缺少 高 技能 技术 人 员 的 企业 分 
支 办 公 室 和 中 小 型 商业 机 构 。 利 用 Cisco SDM， 企 业 能 够 轻松 地 实施 路 由 器 安全 和 网 络 配置 ， 
同时 ，Cisco SDM 生成 的 Cisco IOS Software 配置 已 经 过 Cisco 技术 支持 中 心 (Cisco TAC) 批 
准 ， 它 能 够 通过 内 置 配置 检查 、 专 家 配置 编辑 器 和 有 意义 的 默认 值 提 高 网 络 和 安全 管理 员 的 
生产 率 。 另 外 ，Cisco SDM 特性 还 能 减少 配置 出 错 机 会 ， 大 大 提高 网 络 可 靠 性 。 

对 于 建立 了 大 网 络 的 企业 ，Cisco SDM 能 够 通过 与 Cisco CNS 配置 引擎 的 集成 以 可 扩展 
的 方式 部 署 路 由 器 。Cisco SDM 生成 的 Cisco IOS Software 配置 可 以 导入 到 Cisco CNS 配置 引 
擎 中 ， 然 后 以 “饼干 模子 〈cookie cutter) ”方式 部 署 到 数 千 台 的 Cisco 路 由 器 中 。 


8.4.2 实现 SDM 与 路 由 器 连接 


Cisco SDM 是 一 款 非常 优秀 的 远程 连接 管理 软件 ， 支 持 多 种 协议 且 使 用 方便 ， 能 够 用 它 
来 连接 网 络 设备 进行 调试 ， 如 图 8-7 所 示 。 


计算 机 路 由 器 
192.168.1.20 192.168.1.30 


8-7 SDM 与 路 由 器 连接 拓扑 图 


在 安装 SDM 远程 管理 软件 之 前 ， 首 先 要 在 安装 它 的 计算 机 上 添加 Lookup〈 回 环 网 卡 )， 
如 图 8-8 所 示 ， 然 后 设置 其 他 地 址 为 192.168.1.20。 
完成 计算 机 的 网 卡 设置 ,接着 通过 双击 下 载 的 SDM 安装 程序 ,启动 Cisco SDM 安装 向 导 ， 


单 击 【 下 一 步 】 按 钮 ， 然 后 在 【许可 证 协议 】 对 话 框 中 ， 选 中 【我 接受 许可 证 协议 中 的 条 款 】 
单 选 按钮 ， 并 单 击 【下 一 步 】 按 钮 ， 如 图 8-9 所 示 。 


请 他 胡同 半 下面 的 许可 证 协议 。 
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图 8-8 添加 Lookup 8-9 【许可 证 协议 】 对 话 框 


这 里 由 于 Cisco SDM 被 安装 在 计算 机 上 ， 所 以 在 【安装 选项 】 对 话 框 中 ， 选 中 【本 计算 
机 】 单 选 按钮 ， 并 单 击 【下 一 步 】 按 钮 ， 如 图 8-10 所 示 。 


也 可 以 安装 到 路 由 器 上 ， 大 约 占用 4MB 的 空间 ， 但 是 会 消耗 一 定 的 路 由 器 资 
源 ， 所 以 ， 建 议 用 户 不 要 把 软件 安装 到 路 由 器 上 ， 而 是 安装 在 本 地 计算 机 。 
因为 相对 来 讲 ， 计 算 机 配置 比较 高 ， 应 付 这 种 小 软件 游刃有余 ， 而 路 由 器 的 
资源 让 给 路 由 器 用 比较 好 。 


在 【选择 目的 地 位 置 ] 对 话 框 中 , 通过 单 击 【 浏 览 ] 按 钮 , 设置 SDM 的 安装 路 径 为 “GASDM 
安装 程序 ”， 并 单 击 【 下 一 步 】 按 钮 ， 如 图 8-11 所 示 。 


安装 选项 Ps 
在 计算 机 本 路 和 是 上 安装 Ceco SM 一 


程序 持 在 以 下 文件 到 中 安装 cisco SDN 2 4.1 (中文 )。 
BT . Et, We “Me , 


8-10 【安装 选项 】 对 话 框 图 8-11 设置 SDM 安装 路 径 


然后 ， 依 次 在 【可 以 安装 该 程序 了 】 和 【Cisco SDM 安装 向 导 完 成 】 对 话 框 中 ， 单 击 【 安 
装 】 和 【完成 】 按 钮 完成 SDM 的 安装 。 


六 2 配置 路 由 器 ， 启 用 HTTP 服务 “) 


SDM 软件 成 功 安装 后 ,还 需要 在 路 由 器 上 启用 HITP 服务 ， 以 便 在 计算 机 (安装 有 SDM 
软件 ) 与 路 由 器 连接 时 ， 使 用 默认 浏览 器 从 该 计算 机 启动 SDM 程序 。 

车 计算 机 与 路 由 器 的 fastethernet 0/0 端口 连接 ， 那 么 需要 在 路 由 器 的 fastethernet 0/0 端口 
进行 如 下 配置 。 


到 这 里 ， 路 由 器 上 的 配置 就 完成 了 。 可 以 在 安装 SDM 的 计算 机 上 执行 【开始 】|【 程 序 】 
|Cisco Systems|Cisco SDM ChineselCisco SDM 命令 ， 然 后 在 SDM Launcher 对 话 框 中 输入 路 由 
器 的 地 址 192.168.1.30， 并 单 击 【 启 动 】 按 钮 ， 如 图 8-12 所 示 ， 来 连接 路 由 器 。 

当 SDM 管理 软件 与 路 由 器 连接 成 功 时 ， 将 会 在 【状态 】 对 话 框 中 提示 “当前 SDM 正 从 
您 的 路 由 器 载 入 当前 配置 ， 请 稍 候 ”信息 ， 如 图 8-13 所 示 。 


EEC 了 


厂 访 人 备用 NTHS ,但 和 要 全 用 它 。 


CE | 


图 8-12 ”连接 路 由 器 图 8-13 【状态 】 对 话 框 


8.5 操作 实例 


数据 通道 和 数据 控制 是 路 由 器 的 两 大 典型 功能 ， 家 庭 路 由 器 为 用 户 提供 了 简单 的 Web 管 
理 界面 ， 同 时 拥有 强大 的 防火 墙 以 及 访问 控制 功能 ， 能 够 为 小 型 网 络 提供 安全 保障 。 


口 使 用 Web 页 面 登录 路 由 器 。 
口 设置 防火 墙 功能 。 
口 实现 MAC 地址 和 URL 过 滤 。 
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@ 2. 实例 步骤 站 

(1) 在 桌面 执行 【开始 】 代 运行 】 命 令 ， 然 后 在 【和 运行】 对话 框 中 ， 输 入 路 由 器 瑟 地 址 ， 
如 “192.168.0.1”， 并 单 击 【确定 】 按 钮 ， 如 图 8-14 所 示 。 

(2) 在 弹出 的 【连接 到 192.168.0.1】 对 话 框 中 ， 输 入 用 户 名 和 密码 ， 并 单 击 【确定 】 按 
钮 ， 如 图 8-15 所 示 。 


eo WW 和] as 


打开 外: ME 
[em 
图 8-14 【运行 】 对 话 框 图 8-15 输入 用 户 名 和 密码 
四 图 中 用 户 名 和 密码 默认 由 ISP 服务 商 提 供给 家 庭 用 户 。 i 


(3) 在 【路 由 器 】 窗 口中 ， 选 择 【 网 络 安全 】 选 项 ， 如 图 8-16 所 示 。 
(4) 在 【防火 墙 选项 】 选 项 卡 内 ， 启 用 所 有 复 选 枉 ， 并 单 击 【确定 】 按 钮 ， 如 图 8-17 
所 示 。 


文件 中 ”多 异 于) 查看 WD) 收 硕 中 工具 名 帮助 人 0 


© 加- 国 国 的 万 总 而 wm 加 全 - 访问 控制 。 “MACG 过 泪 。。 URL 过 瀣 六 按 防火 增 
娩 址 由 | 息 http://192.168.0.17 加 加 Ps ”| 
~ 加 
防止 WAND 的 ping 2 
防止 议 口 扫 措 回 职 消 
防止 接 描 安全 端口 (113) 回 
防止 Natbios 数 秋 包 回 
防止 琴 片 包 
防止 短 包 回 
芒 止 I 其 沪 
靳 止 Smurf 政 击 回 
防止 导致 无 机 的 Ping 包 ， 回 
防止 Land 攻 击 回 
六 芒 止 Snork 了 攻击 回 
国 Inteme: 了 防止 JDP 闭口 弱 沽 
图 8-16 【路 由 器 】 窗 口 图 8-17 防火 墙 选项 


(5) 选择 【MAC 过 滤 】 选 项 卡 , 启用 【MAC 地 址 过 滤 】 后 的 【启用 】 复 选 框 , 单 击 【MAC 
地 址 】 文 本 框 后 的 下 拉 按 钮 ， 选 择 MAC 地 址 ， 如 “00:14:2A:09:05:DE:/cc01”， 然 后 单 击 【 确 
定 】 按 钮 ， 如 图 8-18 所 示 。 

(6) 选择 【URL 过 滤 】 选 项 卡 ， 启 用 【启用 URL 过 滤 】 复 选 框 ， 并 输入 IP 地 址 范围 ， 


如 “192.168.250-254”， 如 图 8-19 所 示 。 
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图 8-18 MAC 地 址 过 滤 图 8-19 到 范 围 


(7) 在 【URL 过 滤 】 文 本 框 中 ,输入 URL 地 址 ， 如 “www.baidu.com”， 并 启用 文本 框 后 


的 复 选 框 ， 然 后 单 击 【 确 定 】 按 钮 ， 如 图 8-20 所 示 。 
(8) 选择 【 穿 透 防火 墙 】 选 项 卡 ， 启 用 FTP 后 的 复 选 框 ， 并 单 击 【确定 】 按 钮 ， 如 图 8-21 


所 示 。 


回 B 用 URL 过 小 
TIP 范围 

192,168.0, 回 

， 192.168.0， H323/netmeeting [a ET 
192,168.,0, PPTP 通 过 口 

， 192.168.0， Windows mess engeri 文 伞 作 铀 ) 四 

192,168,0, psac 通 过 加 

， 192,168.0. 非 标准 FTP 凋 口号 


图 8-21 【 穿 透 防火 墙 】 选 项 卡 


3.5.2 ”篇 和 有 袍 四 一 一 为 棕 和 有 习 问 的 浴 议 突入 增加 认证 区 能 


在 路 由 器 上 开启 pap 认证 ， 强 制 通信 双方 协商 用 户 名 和 密码 ， 达 到 相互 信任 的 状态 ， 来 
保证 通信 的 安全 性 。 


口 设置 端口 二 地 址 。 
口 封装 ppp 协议 。 
口 设置 认证 端 与 被 认证 端 验 证 信息 。 


(1) 实验 拓扑 ， 如 图 8-22 所 示 。 
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(2) 使 用 图 8-22 所 示 的 在 RA 和 RB 上 配置 pap 单 向 认证 功能 ，RA 的 s1/0 端口 与 RB 的 
s1/0 端口 相连 。 

(3) 在 RA 窗口 的 CLI 选项 卡 中 , 按 回 车 键 , 进入 用 户 模式 , 输入 enable (进入 特权 模式 ) 
命令 ， 并 按 回 车 键 ， 如 图 8-23 所 示 。 


physica | Config | CLI 


IOS Command Line Interface 


IP: 10.0.0.1 IP: 10.00.2 
~ pes, sl1/0 一 : 全 
FO—— 
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A 为 认 i 


认证 太 
和 被 1 正六 Col Paste 
RARB 通 过 串口 相连 
图 8-22 实验 拓扑 图 图 8-23 ”进入 特权 模式 


(4) 在 特权 模式 下 输入 configure terminal (进入 全 局 模式 ) 命令 ， 并 按 回 车 键 ， 如 图 8-24 


所 示 。 
(5) 在 全 局 模式 下 输入 usermmame cisco password 123456( 设 置 验证 信息 ) 命令 ， 并 按 回 车 


键 ， 如 图 8-25 所 示 。 


Physical | Config | CU 


ph Config | CLI 
IOS Command Line Interface ee Comg 


IOS Command Line Interface 


图 8-24 进入 全 局 模式 图 8-25 设置 验证 信息 


(6) 在 全 局 模式 下 输入 interface sl/0( 进 入 s1/0 接口 ) 命令 ， 并 按 回 车 键 ， 如 图 8-26 
所 示 。 

(7) 在 接口 模式 下 输入 ip address 10.0.0.1 255.0.0.0 (为 s1/0 配置 卫 地址) 命令 ， 并 按 回 
车 键 ， 如 图 8-27 所 示 。 

(8) 在 该 模式 下 输入 clock rate 128000《〈 配 置 端口 速率 ) 命令 ， 按 回 车 键 ， 然 后 输入 no 
shutdown〔 开 启 端口 ) 命令 ， 如 图 8-28 所 示 。 

(9) 在 接口 模式 下 输入 encapsulation ppp〈 封 装 ppp 协议 ) 命令 ， 并 按 回 车 键 ， 如 图 8-29 
所 示 。 

(10) 在 该 模式 下 输入 ppp _ authentication pap〈 开 启 pap 认证 ) 命令 ， 并 按 回 车 键 ， 如 
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| Physical | config 


| physica | config | cu 


houcerlconf1gls 
Roucertcontigls 
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houcertcontigl gintartace #1/0 
Poucertcentig-it) ip add 10.0.0.1 255.0.0.0 
Poucer(contig-it)s 


图 8-27 配置 s1/0 的 卫 地址 
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Dourer(contigl# 

ourer(contigl# 
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图 8-28 配置 端口 速率 并 开启 端口 


(11) 在 RB 窗口 的 CLI 选项 卡 中 ， 按 回 车 键 ， 输 入 enable〈 进 入 特权 模式 ) 命令 ， 如 图 
8-31 所 示 。 
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8-30 ”开启 pap 认证 
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AUTRK-S-CRANGTD。 Intertace Seriall/0, changed stare to dowm 
Doucer(contig-it) $encapsulation PPE 
Doucer(contig-11)# 


copy 


Pasie 


图 8-29 封装 ppp 协议 
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(12) 在 特权 模式 下 输入 configure terminal 命令 ， 并 按 回 车 键 ， 如 图 8-32 所 示 。 
(13) 在 全 局 配置 模式 下 输入 interface s1/0 命令 ， 并 按 回 车 键 ， 如 图 8-33 所 示 。 


(14) 在 接口 模式 下 输入 ip address 10.0.0.2 255.0.0.0 命令 ， 并 按 回 车 键 ， 如 图 8-34 所 示 。 
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图 8-32 进入 全 局 配置 模式 


(15) 在 该 接口 模式 下 输入 clock rate 128000 命令 ， 并 输入 no shutdown 命令 ， 如 图 8-35 
所 示 。 
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8-34 配置 s1/0 端口 的 他 地址 


houter(contig-11)# 
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houcer (contig| gintartace 51/0 
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8-35 ”配置 端口 速率 并 开启 端口 


(16) 在 接口 模式 下 输入 encapsulation ppp 命令 ， 并 按 回 车 键 ， 如 图 8-36 所 示 。 


(17) 在 该 模式 下 输入 ppp pap sent-usemame cisco password 123456 (发 送 验证 信息 ) 命令 ， 
并 按 回 车 键 ， 如 


8-37 所 示 。 
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图 8-36 封装 ppp 协议 
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图 8-37 发 送 验 证 信息 


©® RB 发 送 的 用 户 名 和 密码 必须 与 RA 设置 的 用 户 名 和 密码 相同 。 
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Os 


目前 ， 防 火 墙 技术 已 发 展 到 一 个 非常 成 熟 的 阶段 ， 成 为 用 户 网 络 和 互联 网 相连 的 标准 安 
全 隔离 设备 。 

由 于 TCP/IP 协议 是 为 网 络 互联 而 设计 的 开放 性 协议 ,在 设计 过 程 中 可 能 缺乏 安全 措施 的 
考虑 。 而 防火 墙 就 是 用 来 保护 用 户 网 络 ， 防 止 黑客 利用 TCP/IP 协议 内 在 安全 弱点 攻击 网 络 设 
备 和 用 户 计算 机 。 

在 规划 和 使 用 防火 墙 来 保护 用 户 网 络 时 ， 对 防火 墙 的 配置 和 使 用 环境 进行 设计 ， 这 就 要 
求 用 户 对 防火 墙 有 更 多 的 了 解 。 因 此 ， 本 章 对 防火 墙 的 基本 技术 、 分 类 、 功 能 和 防火 墙 在 不 
同 环境 下 使 用 的 建议 进行 详细 的 阐述 。 


> 防火 墙 功能 及 规则 
> 防火 墙 分 类 

> 防火 墙 的 体系 结构 
> 防火 墙 的 主要 应 用 


9.1 防火 墙 概述 


防火 墙 (Firewall) 是 一 款 协助 确保 信息 安全 的 设备 ， 也 可 以 理解 为 一 个 由 软件 和 硬件 设 
备 组 合 而 成 的 设备 。 它 在 内 部 网 和 外 部 网 之 间 、 专 用 网 与 公共 网 之 间 ， 构 造成 一 个 保护 屏障 ， 
会 依照 特定 的 规则 ， 人 允许 或 者 限制 传输 的 数据 ， 从 而 保护 内 部 网 免 受 非 法 用 户 的 入 侵 。 


9.1.1 防火 墙 的 基本 概念 


最 初 ， 防 火 墙 是 汽车 中 一 个 部 件 的 名 称 。 在 汽车 中 ， 利 用 防火 墙 把 乘客 和 引擎 隔 开 ， 以 
便 汽车 引擎 一 旦 着 火 ， 防 火 墙 不 但 能 保护 乘客 安全 ， 同 时 还 能 让 司机 继续 控制 引擎 。 

但 在 网 络 应 用 中 ， 所 谓 “ 防 火 墙 ”是 一 种 将 内 部 网 和 公众 访问 网 〈 如 Internet) 分 开 的 方 
法 ， 它 实际 上 是 一 种 隔离 技术 。 防 火 墙 是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 尺度 ， 它 能 
允许 “同意 ”的 人 和 数据 进入 网 络 ， 同 时 将 “不 同意 ”的 人 和 数据 拒 之 门 外 ， 最 大 限度 地 阻 
止 网 络 中 的 黑客 来 访问 网 络 。 换 名 话说, 如果 不 通过 防火 墙 , 公司 内 部 的 人 就 无 法 访问 Internet， 
Internet 上 的 人 也 无 法 和 公司 内 部 的 人 进行 通信 。 

防火 墙 属于 一 种 获取 安全 性 方法 的 形象 说 法 ， 也 是 一 种 计算 机 硬件 和 软件 的 结合 ， 


Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 (Security Gateway)， 从 而 保护 内 部 网 络 免 受 非法 
用 户 的 入 侵 ， 防 火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 应 用 网 关 组 成 。 
整体 来 说 ， 防 火 墙 具有 以 下 优点 。 
口 防火 墙 能 强化 安全 策略 。 
口 防火 墙 能 有 效 地 记录 Internet 上 的 活动 。 
口 防火 墙 避免 网 络 用 户 的 暴露 。 防 火 墙 能 够 用 来 隔 开 网 络 中 一 个 网 段 与 另 一 个 网 段 ， 这 
样 ， 能 够 防止 影响 一 个 网 段 的 问题 通过 整个 网 络 传播 。 
口 防火 墙 是 一 个 安全 策略 的 检查 站 。 所 有 进出 的 信息 都 必须 通过 防火 墙 ， 防火墙 便 成 为 
安全 问题 的 检查 点 ， 使 可 疑 的 访问 被 拒 之 门 外 。 


9.1.2 防火墙 的 功能 


防火 墙 属于 用 户 网 络 边界 的 安全 保护 设备 。 所 谓 网 络 边界 也 就 是 采用 不 同安 全 策略 的 两 
个 网 络 连接 处 ， 比 如 家 庭 局 域 网 和 互联 网 之 间 连 接 或 用 户 内 网 不 同 部 门 之 间 的 连接 等 。 防 火 
墙 的 目的 是 在 网 络 连接 之 间 建 立 一 个 安全 控制 点 ， 通 过 允许 、 拒 绝 或 重新 定向 经 过 防火 墙 的 
数据 流 ， 实 现 对 进 、 出 内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 

通过 防火 墙 可 以 对 数据 进行 扫描 ， 能 够 过 滤 掉 一 些 攻击 ， 以 兔 所 保护 的 网 络 中 计算 机 受 
到 破坏 。 另 外 ， 防 火 墙 可 以 关闭 不 使 用 的 端口 而 且 能 禁止 特定 端口 的 流出 通信 ， 封 锁 特 洛 伊 
木马 ; 还 可 以 禁止 来 自 特殊 站 点 的 访问 ， 从 而 防止 来 自 不 明 入 侵 者 的 所 有 通信 。 除 此 之 外 ， 
防火 墙 还 具有 以 下 几 点 主要 功能 。 

口 作为 网 络 安全 的 屏障 

一 个 防火 墙 〈 作 为 阻塞 点 、 控 制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ， 并 通过 过 滤 
不 安全 的 服务 而 降低 风险 。 由 于 防火 墙 可 以 对 应 用 层 协 议 进 行 监测 和 控制 ， 所 以 网 络 环境 变 
得 更 安全 。 如 防火 墙 可 以 禁止 不 安全 的 NFS (Network File System， 网 络 文件 系统 ) 协议 进出 
受 保护 网 络 ， 这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 同 时 ， 防 火 
墙 还 可 以 保护 网 络 免 受 基于 路 由 的 攻击 ， 如 卫 路 由 (IP 数据 包头 中 的 源 瑟 地 址 、 目 标 瑟 地 
址 信息 ) 攻击 。 

口 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ， 能 将 所 有 安全 软件 (如 口令 、 加 密 、 身 份 认证 、 
审计 等 ) 配置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ， 防 火 墙 的 集中 安全 管 
理 更 经 济 。 

口 对 网 络 存 取 和 访问 进行 监控 审计 

如 果 同 一 时 间 内 某 些 访问 都 经 过 防火 墙 , 那么 该 防火 墙 能 够 记录 下 这 些 访 问 并 做 出 
日 志 记 录 , 同时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 有 可 颖 动作 发 生 时 ,防火墙 能 进 
行 适当 的 报警 ， 并 提供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ,收集 网 络 中 的 使 用 
和 误 用 情况 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 、 攻 击 、 控 制 等 。 并 且 网 络 使 用 
统计 对 网 络 需求 分 析 和 威胁 分 析 等 来 说 也 是 非常 重要 的 。 

口 避免 内 部 信息 的 外 泄 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 内 部 网 络 重点 网 段 的 隔离 ， 从 而 限制 局 


部 重点 网 络 的 安全 对 全 局 网 络 造成 影响 。 并 且 ， 隐 私 是 内 部 网 络 非 常 关 心 的 问题 ， 如 内 
部 网 络 中 一 些 细小 的 信息 , 可 能 包含 了 有 关 安 全 的 线索 , 而 这 些 信息 可 能 引起 攻击 者 的 
兴趣 ， 并 暴露 内 部 网 络 中 的 安全 漏洞 。 

使 用 防火 墙 就 可 以 隐蔽 这 些 细小 的 信息 ， 如 Finger、DNS 等 服务 。 其 中 ，Finger 服务 
协议 〈 返 回 一 个 指定 主机 上 一 个 或 多 个 用 户 的 信息 ) 中 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 


名 ， 最 后 登录 时 间 和 使 用 shell (提供 使 用 者 使 用 界面 的 软件 
口 身份 认证 
防火 墙 能 够 识别 从 外 部 网 访问 用 户 的 身份 ， 从 而 决定 是 否 允 许 该 用 户 访问 内 部 网 络 ， 达 
到 在 用 户 端 进行 访问 控制 、 对 安全 策略 进行 细 化 的 目的 。 但 是 ， 身 份 认证 (authentication) 也 
会 使 网 络 通信 的 安全 性 降低 ， 如 防火 墙 必须 在 某 些 端口 进行 监听 ， 这 样 很 容易 暴露 防火 墙 的 
存在 ， 会 导致 外 部 互联 网 的 用 户 有 机 会 在 防火 墙 上 面 打开 一 个 缺口 虚拟 专 网 。 


9.1.3 防火墙 的 规则 


防火 墙 是 一 种 行 之 有 效 的 网 络 安全 机 制 ， 它 是 在 网 络 内 部 和 外 部 之 间 实 施 安全 防范 的 系 
统 。 通 过 防火 墙 能 够 定义 一 个 接 入 访问 控制 规则 ， 要 求 并 且 保 证 仅 当 流量 或 数据 匹配 这 个 要 
求 时 才能 穿越 防火 墙 或 者 接 入 被 保护 的 系统 ， 从 而 实现 管理 和 控制 网 络 流量 、 保 护 资源 的 
目的 。 

目前 ， 防 火 墙 中 定义 的 规则 主要 分 为 进行 包 过 滤 型 和 代理 服务 型 两 种 。 


如 图 9-1 所 示 , 包 过 滤 型 防火 墙 一 般 有 一 个 检查 模块 , 该 模块 在 操作 系统 或 路 由 器 转发 数 
据 包 之 前 将 拦截 所 有 数据 包 ， 并 对 其 进行 验证 ， 查 看 是 否 符合 过 滤 规 则 。 它 的 具体 工作 过 程 
如 下 所 述 。 


命令 解析 器 ) 类 型 等 。 


9-1 包 过 滤 型 防火 墙 工作 规则 图 


口 数据 包 从 外 网 传送 到 防火 墙 后 ， 防 火 墙 会 在 数据 包 从 网 络 层 传送 到 传输 层 之 前 ， 将 数 
据 包 转发 给 包 检 查 模块 进行 处 理 。 

口 首先 与 第 一 个 过 滤 规则 比较 。 

口 如 果 第 一 个 过 滤 规 则 相同 ， 则 对 其 进行 审核 ， 判 断 是 否 转发 该 数据 包 ， 这 时 如 果 审 核 
结果 是 转发 数据 包 ， 将 数据 包 发 送 到 传输 层 进行 处 理 ， 否 则 将 其 丢弃 。 

口 如 果 与 第 一 个 过 滤 规则 不 同 ， 则 继续 与 第 二 个 规则 比较 ， 如 果 相 同 则 对 它 进行 审核 ， 
过 程 与 上 步 相同 。 

口 如 果 与 第 二 个 过 滤 规 则 不 同 ， 则 继续 与 下 一 个 过 滤 规 则 比较 ， 直 到 与 所 有 过 滤 规 则 比 
较 完 成 。 若 不 匹配 所 有 过 滤 规 则 ， 则 将 数据 包 技 弃 。 

包 检 查 器 并 不 检查 数据 包 的 所 有 内 容 ， 它 通常 只 检查 下 列 几 项 。 

口 IP 源 地 址 。 

口 卫 目标 地 址 。 

口 TCP 协议 或 UDP 协议 的 源 端 口号 。 

口 TCP 协议 或 UDP 协议 的 目标 端口 号 。 

口 协议 类 型 。 

口 ICMP 消息 类 型 。 

口 TCP 协议 报头 中 的 ACK ( 确认 ) 位 。 

口 TCP 协议 的 序列 号 、 确 认 号 。 


代理 服务 型 防火 墙 主要 是 在 应 用 层 上 实现 防火 墙 功能 ， 除 了 能 够 提供 与 传输 有 关 的 状态 


(IP 源 地 址 、IP 目标 地 址 ) 检测 外 ， 还 能 对 应 用 状态 (如 服务 类 型 ) 信息 进行 核对 ， 从 而 更 安 
全 地 保护 网 络 。 


也 就 是 说 ， 可 以 对 网 络 中 任何 一 层 数据 通信 进行 筛选 保护 ， 而 不 是 像 包 过 滤 那 样 ， 只 是 


对 网 络 层 的 数据 进行 过 滤 。 图 9-2 为 使 用 代理 服务 型 防火 墙 的 工作 原理 图 。 


计 


图 9-2 代理 服务 型 防火 墙 的 工作 原理 图 
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9.2 防火墙 的 分 类 


防火 墙 是 一 个 位 于 计算 机 和 它 所 连接 的 网 络 间 的 设备 ， 目 前 ， 市 场 上 的 防火 墙 主要 可 以 
从 软 硬 件 、 技 术 等 方面 来 进行 分 类 和 选择 。 


9.2.1 按 软 硬 件 分 类 


从 软 硬 件 组 成 上 来 讲 ， 可 将 防火 墙 分 为 硬件 防火 墙 和 软件 防火 墙 两 种 。 其 中 ， 硬 件 防火 
墙 基于 硬件 平台 设计 ， 几 乎 与 路 由 器 同时 产生 ， 而 软件 防火 墙 为 基于 纯 软件 研发 的 防火 墙 ， 
是 防火 墙 应 用 技术 普及 的 产物 。 


C 1. 硬件 防火 墙 门 

最 初 的 防火 墙 与 平时 所 见 到 的 集线器 、 交 换 机 一 样 ， 都 属于 硬件 产品 ， 图 9-3 所 示 的 是 
3Com 公司 的 一 款 3Com SuperStack 3 防火 墙 。 它 在 外 观 上 与 网 络 中 使 用 的 集线器 和 交换 机 类 
似 ， 只 是 只 有 少数 几 个 接口 ， 分 别 用 于 连接 内 、 外 部 网 络 ， 这 一 特点 由 防火 墙 的 基本 作用 
决定 。 


图 9-3 3Com 防火 墙 系统 产品 图 


另外 ， 从 防火 墙 的 硬件 性 能 上 来 分 ， 还 可 将 其 分 为 低 端 硬件 防火 墙 、 高 端 硬件 防火 墙 和 
高 端 服务 器 防火 墙 三 类 。 

口 低 端 硬 件 防火 墙 

硬件 防火 墙 市 场 中 的 低 端 产品 是 一 些 需要 进行 一 定 配置 的 即 插 即 用 设备 ， 就 像 普通 的 桌 
面 交换 机 一 样 。 这 类 低档 设备 经 常 集成 了 交换 机 和 VPN 功能 。 低 端 硬件 防火 墙 适 合 小 型 公司 
和 较 大 企业 中 内 部 使 用 。 它 们 一 般 提供 静态 筛选 功能 和 基本 的 远程 管理 功能 。 
低 端 硬件 防火 墙 的 优点 在 于 成 本 低 及 配置 简单 〈 几 乎 不 需要 进行 配置 ， 即 插 即 用 ) 。 也 
正 是 这 类 防火 墙 的 优点 决定 了 它 的 缺点 ， 低 端 硬件 防火 墙 只 提供 基本 的 防火 墙 功 能 ， 无 法 以 
并 行 的 方式 进行 元 余 ， 所 以 处 理 高 吞吐 量 连接 有 限 ， 可 能 会 出 现 瓶 颈 。 

口 高 端 硬件 防火 墙 

在 高 端 硬件 防火 墙 市 场 中 ， 有 适合 企业 或 服务 提供 商 的 高 性 能 、 高 适应 性 产 
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品 提供 最 好 的 保护 ， 而 不 会 降低 网 络 的 性 能 ， 还 可 以 通过 添加 第 二 个 作为 运行 的 备份 防火 墙 ， 
以 获得 可 用 性 的 提高 。 

高 端 硬件 防火 墙 可 提供 较 高 级 别 的 入 侵 防 护 ， 同 时 对 性 能 造成 的 影响 最 低 。 并 且 ， 将 高 
端 硬件 防火 墙 连接 在 一 起 ， 以 实现 最 佳 的 可 用 性 和 负载 平衡 。 

另外 ， 防 火 墙 的 硬件 和 软件 均 可 以 升级 ， 以 满足 更 高 的 防护 要 求 。 其 中 ， 硬 件 升级 可 能 
包括 附加 的 以 太 网 端口 ， 而 软件 升级 可 能 包括 新 入 侵 方法 的 检测 。 最 后 ， 高 端 便 件 防火 墙 比 
低 端 硬件 防火 墙 提供 了 更 佳 的 远程 管理 功能 等 。 

口 高 端 服务 器 防火 墙 

高 端 服务 器 防火 墙 将 防火 墙 功能 添加 到 高 端 服务 器 中 ， 在 标准 软件 和 软件 系统 上 提供 可 
靠 快速 的 保护 。 此 方法 的 好 处 是 使 用 熟悉 的 硬件 或 软件 ， 可 以 减少 库存 项 目 ， 简 化 培训 和 管 
理 ， 提 供 可 靠 性 和 扩展 性 。 

许多 高 端 硬 件 防火 墙 产品 是 在 运行 行业 标准 操作 系统 和 行业 标准 硬件 平台 上 实现 的 ， 因 
此 在 技术 上 和 性 能 上 与 服务 器 防火 墙 有 一 点 差异 。 但 是 ， 因 为 操作 系统 仍然 是 可 见 的 ， 所 以 
服务 器 防火 墙 功能 可 以 进行 升级 并 且 通 过 特殊 技术 使 其 具有 更 高 的 可 用 性 和 更 高 的 性 能 。 

服务 器 防火 墙 适用 在 特殊 的 硬件 或 软件 平台 上 ， 因 为 防火 墙 使 用 相同 的 平台 可 以 使 管理 
任务 更 简单 ， 并 且 缓 存 功 能 还 非常 有 效 。 它 的 优点 包括 高 性 能 〈 在 一 个 性 能 合适 的 服务 器 上 
运行 时 ， 这 些 服务 器 可 以 提供 较 高 级 别 的 性 能 ) 和 可 用 性 、 适 应 性 和 可 扩展 性 好 (由 于 这 种 
防火 墙 运行 在 标准 个 人 计算 机 硬件 上 ) 。 

但 是 ， 服 务 器 防火 墙 对 硬件 要 求 较 高 ， 即 高 端 中 央 处 理 单 元 (CPU) 、 内 存 和 网 络 接口 。 
并 且 ， 服 务 器 防火 墙 在 服务 器 操作 系统 上 运行 ， 可 能 对 该 操作 系统 的 其 他 软件 带 来 安全 隐患 。 


随 着 防火 墙 应 用 的 逐步 普及 和 计算 机 软件 技术 的 发 展 ， 为 了 满足 不 同 层次 用 户 对 防火 墙 
技术 的 需求 ， 许 多 网 络 安 全 软件 厂商 开发 出 基于 纯 软件 的 防火 墙 ， 俗 称 “ 个 人 防火 墙 ”。 

个 人 防火 墙 是 最 常见 的 ， 通 常 为 个 人 用 户 所 选择 ， 可 以 为 个 人 计算 机 提供 简单 的 防火 墙 
功能 。 

虽然 个 人 防火 墙 只 为 保护 个 人 计算 机 而 设计 ， 但 如 果 内 部 网 络 的 其 他 计算 机 是 通过 安装 
个 人 防火 墙 的 计算 机 与 Internet 相连 接 ， 那 么 它 也 可 以 起 到 保护 内 部 网 络 的 作用 。 不 过 , 个 人 
防火 墙 的 性 能 有 限 ， 并 会 造成 安装 它 的 个 人 计算 机 的 性 能 下 降 。 这 种 保护 机 制 通常 不 如 专用 
防火 墙 解决 方案 有 效 ， 因 为 它们 通常 只 限于 阻止 、 端 口 地 址 和 一 些 比 较 简 单 的 网 络 攻击 ， 
安全 策略 配置 不 是 很 灵活 。 

个 人 防火 墙 的 优点 主要 在 于 价格 很 低 甚 至 是 免费 的 (微软 已 将 个 人 防火 墙 系统 集成 到 
Windows XP / Server 2003 版 本 中 ) 且 配 置 简单 (个 人 防火 墙 产 品 通常 可 以 使 用 直接 的 配置 选 
项 获得 基本 可 使 用 的 配置 ) ， 各 品牌 的 杀毒 软件 中 也 提供 防火 墙 这 一 功能 模块 ， 如 金山 网 镖 、 
瑞星 个 人 防火 墙 和 傲 盾 DDOS 防火 墙 ( 图 9-4) 等 。 正 是 由 于 这 些 特点 所 以 比较 适合 个 人 使 用 ， 
特别 适合 使 用 便携 计算 机 的 移动 用 户 。 

个 人 防火 墙 的 缺点 也 比较 明显 ， 主 要 有 集中 管理 比较 困难 (需要 在 每 个 客户 端 进行 配置 ， 
增加 了 管理 开销 )、 仅 具有 基本 控制 (配置 趋向 于 仅 为 静态 数据 包 筛选 和 基于 权限 的 应 用 程 
序 阻止 的 组 合 ) 及 性 能 限制 (个 人 防火 墙 是 为 了 保护 个 人 计算 机 而 设计 的 。 在 充当 小 型 网 络 


的 路 由 器 的 个 人 计算 机 上 使 用 将 导致 性 能 下 降 ) 。 并 且 由 于 其 有 限 的 性 能 和 功能 ， 在 企业 中 ， 
甚至 小 型 附属 办 事 处 中 不 应 考虑 使 用 。 


电信 后 D 


图 9-4 傲 盾 DDOS 防火 墙 


9.2.2 ” 按 技 术 分 类 


目前 ， 虽 然 出 现 了 许多 防火 墙 技术 〈 包 过 滤 、 代 理 服务 及 网 络 地 址 转换 等 ) ， 但 总 体 来 
讲 可 分 为 “ 包 过 滤 型 ”和 “应 用 代理 型 ”两 大 类 。 


包 过 滤 (Packet Filtering) 型 防火 墙 工作 在 OSI 网 络 参考 模型 的 网 络 层 和 传输 层 ， 它 根据 
数据 包头 源 地 址 ， 目 的 地 址 、 端 口号 和 协议 类 型 等 标志 确定 是 否 允 许 通 过 。 只 有 满足 过 滤 规 
则 的 数据 包 才 被 转发 到 相应 的 目的 地 ， 其 余数 据 包 则 从 数据 流 中 丢弃 。 

包 过 滤 方 式 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 ， 因 为 它 并 不 针对 各 个 具体 的 网 络 服务 
采取 特殊 的 处 理 方式 ， 适 用 于 所 有 网 络 服 务 ， 而 且 大 多 数 路 由 器 都 提供 数据 包 过 滤 功 能 ， 所 
以 这 类 防火 墙 多 数 是 由 路 由 器 集成 的 ， 另 外 ， 它 能 够 很 大 程度 上 满足 绝 大 多 数 企业 安全 要 求 。 

在 整个 防火 墙 技术 的 发 展 过 程 中 ， 包 过 滤 技 术 出 现 了 两 种 不 同 版 本 ， 称 为 “第 一 代 静 态 
包 过 滤 ” 和 “第 二 代 动 态 包 过 滤 ”。 

口 第 一 代 静 态 包 过 滤 类 型 防火 墙 

第 一 代 静 态 包 过 滤 类 型 防火 墙 几 乎 是 与 路 由 器 同时 产生 的 ， 它 是 根据 定义 好 的 过 滤 规 则 
审查 每 个 数据 包 ， 以 便 确 定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信 
息 进行 制定 。 报 头 信息 中 包括 他 源 地 址 、 卫 目标 地 址 、 传 输 协议 TCP、UDP、ICMP 等 ) 、 
TCP/UDP 目标 端口 、ICMP 消息 类 型 等 。 

口 第 二 代 动 态 包 过 滤 类 型 防火 墙 

这 类 防火 墙 采用 动态 设置 包 过 滤 规 则 的 方法 ， 避 免 静态 包 过 滤 所 具有 的 问题 ， 进 而 发 展 
成 为 包 状态 监测 (Stateful Inspection) 技术 。 采 用 这 种 技术 的 防火 墙 ， 对 通过 其 建立 的 每 一 个 
连接 都 进行 跟踪 ， 并 且 根 据 需要 可 动态 地 在 过 滤 规 则 中 增加 或 更 新 条 目 。 

包 过 滤 方 式 的 优点 是 不 用 改动 客户 机 和 计算 机 上 的 应 用 程序 ， 因 为 它 工作 在 网 络 层 和 传 


输 层 ， 与 应 用 层 无 关 。 但 其 弱点 也 很 明显 ， 过 滤 判 断 的 依据 只 是 网 络 层 和 传输 层 的 有 限 信息 ， 
因而 各 种 安全 要 求 不 可 能 充分 满足 在 许多 过 滤器 中 ， 过 滤 规 则 的 数目 是 有 限 的 ， 且 随 着 规 
则 数目 的 增加 ， 性 能 会 受到 很 大 的 影响 ， 由 于 缺少 上 下 文 关联 信息 ， 不 能 有 效 地 过 滤 如 UDP、 
RPC 一 类 的 协议 。 

另外 ， 大 多 数 过 滤器 中 缺少 审计 和 报警 机 制 ， 它 只 能 依据 包头 信息 ， 而 不 能 对 用 户 身份 
进行 验证 ， 很 容易 受到 “地 址 欺骗 型 ”攻击 。 对 安全 管理 人 员 素 质 要 求 高 ， 建 立 安全 规则 时 ， 
必须 对 协议 本 身 及 其 在 不 同 应 用 程序 中 的 作用 有 较 深 入 的 理解 。 因 此 ， 过 滤器 通常 与 应 用 网 
关 配 合 使 用 ， 共 同 组 成 防火 墙 系统 。 


应 用 代理 〈Application Proxy) 型 防火 墙 工作 在 OSI 的 最 高 层 ， 即 应 用 层 。 其 特点 是 完全 
“阻隔 ”了 网 络 通信 流 ， 通 过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ， 实 现 监视 和 控制 应 用 层 通 
信 流 的 作用 。 

在 代理 型 防火 墙 技 术 的 发 展 过 程 中 ， 它 也 经 历 了 两 个 不 同 的 版 本 ， 即 第 一 代 应 用 网 关 型 
代理 防火 和 第 二 代 自 适应 代理 型 防火 墙 。 

口 第 一 代 应 用 网 关 型 防火 墙 

第 一 代 应 用 网 关 〈Application Gateway) 型 防火 墙 ， 通 过 一 种 代理 (Proxy) 技术 参与 到 
一 个 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 该 防火 墙 处 理 后 ， 就 像 是 源 于 防火 墙 外 部 
网 卡 一 样 ， 从 而 可 以 达到 隐藏 内 部 网 结构 的 作用 。 这 种 类 型 的 防火 墙 被 网 络 安全 专家 和 媒体 
公认 为 是 最 安全 的 防火 墙 ， 它 的 核心 技术 就 是 代理 服务 器 技术 。 

口 第 二 代 自 适应 代理 (Adaptive Proxy) 型 防火 墙 

这 是 最 近 才 得 到 广泛 应 用 的 一 种 新 防火 墙 类 型 ， 可 以 结合 代理 类 型 防火 墙 的 安全 性 和 包 
过 滤 防 火 墙 的 高 速度 等 优点 ， 在 毫 不 损失 安全 性 的 基础 之 上 将 代理 型 防火 墙 的 性 能 提高 10 倍 
以 上 。 

组 成 这 种 类 型 防火 墙 的 基本 要 素 有 两 个 : 自 适应 代理 服务 器 (Adaptive Proxy Server) 与 
动态 包 过 滤器 (Dynamic Packet Filter) ， 并 在 自 适 应 代理 服务 器 与 动态 包 过 滤器 之 间 构 成 一 
个 控制 通道 。 当 对 防火 墙 进行 配置 时 ， 用 户 仅仅 将 所 需要 的 服务 类 型 、 安 全 级 别 等 信息 通过 
相应 Proxy 的 管理 界面 进行 设置 。 然 后， 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 
代理 服务 从 应 用 层 代理 请 求 还 是 从 网 络 层 转发 包 。 如 果 是 后 者 ， 它 将 动态 地 通知 包 过 滤器 增 
减 过 滤 规 则 ， 满 足 用 户 对 速度 和 安全 性 的 双重 要 求 。 

代理 服务 类 型 防火 墙 的 最 突出 的 优点 就 是 安全 ， 因 为 它 工作 在 最 高 层 ， 可 以 对 网 络 中 任 
何 一 层 数据 通信 进行 筛选 保护 ， 而 不 是 像 包 过 滤 那 样 ， 只 是 对 网 络 层 的 数据 进行 过 滤 。 

另外 ， 代 理 型 防火 墙 采取 的 是 一 种 代理 机 制 ， 可 以 为 每 一 种 应 用 服务 建立 一 个 专门 的 代 
理 〈 中 间 人 )。 因 此 ， 内 外 部 网 络 之 间 的 通信 不 是 直接 的 ， 而 都 需 先 经 过 代理 服务 器 审核 ， 通 
过 后 再 由 代理 服务 器 代为 连接 ， 根 本 不 存在 内 、 外 部 网 络 计 算 机 直接 会 话 的 机 会 ， 从 而 避免 
了 入 侵 者 使 用 数据 驱动 类 型 的 攻击 方式 入 侵 内 部 网 。 而 包 过 滤 类 型 的 防火 墙 是 很 难 彻底 避免 
这 一 漏洞 的 。 

对 于 代理 防火 墙 来 讲 ， 它 最 大 缺点 则 是 速度 相对 比较 慢 ， 当 用 户 对 内 外 部 网 络 网 关 的 知 
吐 量 要 求 比较 高 时 ， 代 理 防火 墙 将 会 成 为 内 外 部 网 络 之 间 的 瓶颈 。 因 为 防火 墙 需要 为 不 同 的 


网 络 服务 建立 专门 的 代理 服务 ， 用 自己 的 代理 程序 为 内 、 外 部 网 络 用 户 建立 连接 时 需要 时 间 ， 
所 以 给 系统 性 能 带 来 了 一 些 负面 影响 ， 但 通常 不 会 很 明显 。 


9.2.3 防火墙 的 选择 


防火 墙 作 为 防止 黑客 入 侵 的 主要 手段 ， 已 成 为 政府 机 关 、 企 事业 单位 网 络 安全 建设 的 必 
选 设备 。 在 有 线 数字 电视 的 发 展 、 数 据 网 络 建设 和 增值 业务 的 应 用 等 方面 ， 同 样 离 不 开 防火 
墙 的 保护 。 面 对 种 类 繁多 的 防火 墙 产 品 ， 用 户 应 该 如 何 选择 呢 ? 针 对 这 一 问题 ， 用 户 可 以 将 选 
择 防火 墙 时 涉及 的 基本 原则 和 基本 标准 ， 以 及 应 该 考虑 的 企业 特殊 要 求 等 作为 参照 。 


首先 ， 应 该 明确 目的 ， 想 要 如 何 操作 防火 墙 系统 ， 即 只 允许 想 要 的 数据 通过 ， 比 如 某 企 
业 只 需要 电子 函件 服务 ， 那 么 该 企业 将 防火 墙 设置 为 只 允许 电子 函件 服务 通过 ， 而 禁止 FTP、 
WWW 等 服务 ， 同 时 还 允许 多 种 业务 通过 防火 墙 ， 但 要 设置 相应 的 监测 、 计 量 、 注 册 和 审 
核 等 。 

其 次 ， 要 考虑 达到 什么 级 别 的 监测 和 控制 。 根 据 网 络 用 户 的 实际 需要 ， 建 立 相应 的 风险 
级 别 ， 随 之 便 可 形成 一 个 需要 监测 、 允 许 、 禁 止 的 清单 ， 以 此 设置 防火 墙 的 各 项 功能 。 

然后 ， 是 费用 问题 。 市 场 上 ， 防 火 墙 的 售 价 极为 悬殊 ， 从 几 万 元 到 数 十 万 元 ， 甚 至 上 百 
万 元 。 因 为 各 企业 用 户 使 用 的 安全 程度 不 尽 相 同 ， 因 此 厂商 所 推出 的 产品 也 有 所 区 分 ， 甚 至 
有 些 公司 还 推出 类 似 模块 化 的 功能 产品 ， 以 符合 各 种 不 同 企业 的 安全 要 求 。 安 全 性 越 高， 实 
现 越 复杂 ， 费 用 也 越 高 ， 反 之 费用 较 低 。 这 就 需要 对 网 络 中 需 保护 的 信息 和 数据 进行 详细 的 
经 济 性 评估 。 

一 般 网 络 安全 防护 系统 的 造价 ， 占 需 保护 资源 价值 的 19% 左 右 。 所 以 在 装配 防火 墙 时 ， 费 
用 与 安全 性 的 折衷 是 不 可 避免 的 ， 这 也 就 决定 了 “绝对 安全 ”的 防火 墙 是 不 存在 的 。 但 可 以 
在 现 有 经 济 条 件 下 尽 可 能 科学 地 配置 各 种 防御 措施 ， 使 防火 墙 充分 发 挥 作 用 。 


只 要 是 能 够 限制 数据 包 通行 的 网 络 设备 ， 或 安装 在 各 种 操作 系统 上 的 软件 都 可 以 用 来 当 
作 防火 墙 。 且 可 由 不 同 特性 的 防火 墙 设计 方式 ， 来 评估 各 种 防火 墙 是 否 足够 安全 ， 以 及 能 否 
满足 企业 的 安全 需求 。 具 体 说 来 ， 有 以 下 几 类 指标 。 

口 防火 墙 的 管理 难 易 度 

防火 墙 的 管理 难 易 度 ， 是 防火 墙 能 否 达到 目的 的 主要 考虑 因素 之 一 。 若 防火 墙 的 管理 过 
于 困难 ， 则 可 能 会 造成 设置 的 错误 ， 反 而 不 能 达到 其 功能 。 

一 般 企业 很 少 以 已 有 的 网 络 设备 直接 当 作 防火 墙 ， 是 因为 除了 之 前 提 到 的 包 过 滤 (不 能 
达到 完全 的 控制 ) 之 外 ， 还 有 设置 工作 困难 、 必 须 具备 完整 的 知识 才能 排 错 等 管理 问题 。 

口 防火 墙 自身 的 安全 性 

多 数 人 在 选择 防火 墙 时 ， 都 将 注意 力 放 在 防火 墙 如 何 控制 连接 以 及 防火 墙 支持 多 少 种 服 
务 ， 但 忽略 防火 墙 同样 是 网 络 上 的 计算 机 之 一 ， 也 可 能 存在 安全 问题 。 如 果 防 火 墙 不 能 确保 
自身 安全 ， 即 使 防火 墙 的 控制 功能 再 强 ， 还 是 不 能 完全 保护 内 部 网 络 。 


大 部 分 防火 墙 都 安装 在 一 般 的 操作 系统 上 , 如 UNIX、Windows 系统 等 。 在 防火 墙 计算 机 
上 执行 的 除了 防火 墙 软件 外 ， 其 他 所 有 的 程序 、 系 统 核心 大 多 来 自 于 操作 系统 本 身 的 原 有 程 
序 。 所 以 ， 当 防火 墙 上 所 执行 的 软件 出 现 安全 漏洞 时 ， 防 火 墙 本 身 也 将 受到 威胁 。 此 时 ， 任 
何 防火 墙 控制 机 制 都 可 能 失效 ， 因 为 当 一 个 黑客 取得 了 防火 墙 上 的 控制 权 后 ， 黑 客 几乎 可 随 
意 地 修改 防火 墙 上 的 存 取 规则 (Access Rule) ， 进 而 入 侵 更 多 的 系统 。 因 而 ， 防 火 墙 自身 仍 
应 有 相当 高 的 安全 保护 。 

口 能 否 弥补 其 他 操作 系统 的 不 足 

一 款 好 的 防火 墙 必须 是 建立 在 操作 系统 之 前 ， 而 不 是 在 操作 系统 之 上 ， 这 样 该 操作 系统 
有 的 漏洞 可 能 不 会 影响 到 防火 墙 系统 所 提供 的 安全 性 。 由 于 硬件 平台 的 普及 以 及 执行 效率 的 
因素 ， 大 部 分 企业 均 会 把 对 外 提供 各 种 服务 的 服务 器 分 散 至 许多 操作 平台 上 ， 但 在 无 法 保证 
所 有 主机 安全 的 情况 下 ， 选 择 防 火 墙 作为 整体 安全 的 保护 者 ， 这 说 明了 操作 系统 提供 的 安全 
级 别 ， 并 不 一 定 会 直接 对 整体 安全 造成 影响 ， 因 为 一 款 好 的 防火 墙 必须 能 弥补 操作 系统 的 
不 足 。 

口 能 否 为 使 用 者 提供 不 同 平台 的 选择 

由 于 防火 墙 并 非 完全 由 硬件 构成 ， 而 从 软件 (操作 系统 ) 所 提供 的 功能 及 执行 效率 来 看 
一 定 会 影响 到 整体 的 效果 ; 另外， 使 用 者 的 操作 意愿 及 熟悉 程度 也 是 必须 考虑 的 重点 之 一 。 

因此 ， 一 款 好 的 防火 墙 ， 不 但 本 身 要 有 良好 的 执行 效率 ， 还 应 该 提供 多 平台 的 执行 方式 
供 使 用 者 选择 ， 毕 竟 使 用 者 才 是 完全 的 控制 者 ， 应 该 选择 一 套 符 合 现 有 环境 需求 的 软件 ， 而 
并 不 是 因为 软件 的 限制 来 改变 现 有 环境 。 

口 能 否 向 使 用 者 提供 完善 的 售后 服务 

由 于 有 新 的 产品 出 现 ， 就 有 人 会 研究 新 的 破解 方法 ， 所 以 一 款 好 的 防火 墙 提供 者 必须 有 
一 个 庞大 的 组 织 作 为 使 用 者 的 安全 后 盾 ， 也 应 该 有 众多 的 使 用 者 所 建立 的 口碑 为 防火 墙 作 
见证 。 


企业 安全 政策 中 往往 有 些 特殊 需求 ， 并 不 是 每 一 款 防火 墙 都 会 提供 的 ， 这 也 常常 成 为 选 
择 防火 墙 的 考虑 因素 之 一 。 常 见 的 需求 如 下 所 述 。 

口 IP 地 址 转换 

进行 IP 地 址 转换 (IP Address Translation) 有 两 个 好 处 ， 其 一 是 隐藏 内 部 网 络 真正 的 下 
地 址 ， 这 可 以 使 黑客 (Hacker) 无 法 直接 攻击 内 部 网 络 ， 另 一 好 处 是 可 以 让 内 部 使 用 保留 的 
卫 地 址 ， 这 对 许多 瑟 地 址 不 足 的 企业 是 有 益 的 。 

口 双重 DNS 

当 内 部 网 络 使 用 没有 注册 的 瑟 地 址 ， 或 是 防火 墙 进行 PP 地址 转换 时 ，DNS 也 必须 进行 
转换 。 因 为 ,同样 一 台 计 算 机 在 内 部 的 人 P 地 址 与 转换 后 的 了 P 地 址 将 会 不 同 ， 有 的 防火 墙 会 提 
供 双 重 DNS， 有 的 则 必须 在 不 同 计算 机 上 各 安装 一 个 DNS。 

口 虚拟 企业 网 络 

VPN 可 在 防火 墙 与 防火 墙 或 移动 客户 间 ， 对 所 有 网 络 传输 的 内 容 加 密 ， 建 立 一 个 虚拟 通 
道 ， 让 通信 双方 感觉 是 在 同一 个 网 络 上 ， 可 以 安全 且 不 受 拘束 地 互相 存 取 。 这 对 于 总 公司 与 
分 公司 之 间或 公司 与 外 出 的 员工 之 间 ， 需 要 直接 联系 ， 又 不 愿 花费 大 量 金钱 特意 申请 专线 或 
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长 途 电话 拨号 连接 时 ， 将 会 非常 实用 。 

口 扫 毒 功能 

大 部 分 防火 墙 ， 可 以 与 防 病毒 防火 墙 搭配 实现 扫 毒 功能 ， 还 有 一 些 防火 墙 则 可 以 直接 集 
成 扫 毒 功能 ， 差 别 只 是 扫 毒 工作 是 由 防火 墙 完成 ， 或 是 由 另 一 台 专 用 的 计算 机 完成 。 

防火 墙 是 企业 网 络 安全 问题 的 流行 方案 ， 即 把 公共 数据 和 服务 置 于 防火 墙 外 ， 使 其 对 防 

火 墙 内 部 资源 的 访问 受到 限制 。 而 一 款 好 的 防火 墙 ， 不 但 应 该 具备 包括 检查 、 认 证 、 警 告 、 
记录 的 功能 ,， 并且 能 够 为 使 用 者 解决 可 能 遇 到 的 困境 ,如 瑟 地 址 不 足 形成 的 瑟 地 址 转换 的 问 
题 ， 信 息 加 密 /解密 的 问题 等 ， 这 也 是 选择 防火 墙 时 必须 考虑 的 重点 之 一 。 


防 灾 租 与 保 向 习 前 安 仿 委 册 租 


9.2.4 殉 尝 心得 


防火 墙 已 经 成 为 企业 网 络 建设 中 的 一 个 关键 组 成 部 分 。 但 是 仍 有 许多 用 户 不 理解 ， 网 络 
中 已 经 有 了 路 由 器 ， 并 且 可 以 实现 一 些 简单 的 包 过 滤 功 能 ， 但 为 什么 还 要 用 防火 墙 呢 ? 实际 
上 ， 无 论 从 设备 产生 和 存在 的 背景 、 核 心 技术 、 安 全 策略 制定 的 复杂 程度 、 对 性 能 的 影响 、 
审计 功能 的 强 弱 ， 还 是 在 防范 攻击 能 力 方面 都 有 一 定 的 差别 。 

在 此 ， 针 对 NetEye 防火 墙 ， 与 最 具 代表 性 的 Cisco 路 由 器 在 安全 方面 进行 对 比 。 


太 1 两 者 产生 和 存在 的 背景 不 同 一 


路 由 器 的 产生 基于 对 网 络 数据 包 路 由 ， 其 作用 是 将 不 同 网 络 的 数据 包 进行 有 效 的 路 由 ， 
但 对 于 路 由 的 原因 、 是 否 应 该 路 由 、 路 由 后 是 否 有 问题 等 根本 不 关心 ， 所 关心 的 是 能 否 将 不 
同 的 网 段 的 数据 包 进 行路 由 从 而 进行 通信 。 

防火 墙 产 生 于 人 们 对 于 安全 性 的 需求 ， 数 据 包 是 否 可 以 正确 地 到 达 、 到 达 的 时 间 、 方 向 
等 并 不 是 防火 墙 关心 的 重点 ， 其 重点 是 该 数据 包 是 否 应 该 通过 、 通 过 后 是 否 会 对 网 络 造成 
危害 。 


C 2. 核心 技术 不 同 ) 

Cisco 路 由 器 核心 的 ACL 列表 是 基于 简单 的 包 过 滤 , 但 NetEye 防火 墙 则 是 基于 状态 包 过 
滤 的 应 用 层 信 息 流 过 滤 。 

9-5 所 示 为 一 个 最 简单 的 应 用 , 企业 内 网 的 一 台 服务 器 ,通过 路 由 器 对 外 网 提供 服务 ( 假 
设 提供 服务 的 端口 为 TCP 1455 )。 为 了 保证 安全 性 , 在 路 由 器 上 需 配 置 规则 ， 当 外 部 用 户 访问 
内 部 服务 时 ， 只 人 允许 客户 端 〈client) 访问 服务 器 〈server) 的 TCP 1455 端口 ， 其 他 拒绝 。 


内 网 服务 器 路 由 器 外 网 计算 机 


图 9-5 路 由 器 安全 设置 


第 外 章 


防火 墙 基础 


针对 该 配置 ， 存 在 的 安全 隐患 如 下 所 述 。 

口 人 P 地 址 欺骗 (使 连接 非 正常 复位 )。 

口 TCP 欺骗 (会 话 重 放 和 劫持 )。 

存在 上 述 隐患 的 原因 是 ， 路 由 器 不 能 监测 TCP 的 状态 。 如 果 在 内 网 客户 和 路 由 器 之 间 放 
上 NetEye 防火 墙 ， 由 于 NetEye 防火 墙 能 够 检测 TCP 的 状态 , 并 且 可 以 重新 随机 生成 TCP 的 
序列 号 ， 那 么 就 可 以 彻底 消除 这 样 的 隐患 。 同 时 ，NetEye 防火 墙 的 一 次 性 口令 认证 客户 端 功 
能 ， 能 够 在 对 应 用 完全 透明 的 情况 下 ， 实 现 对 用 户 的 访问 控制 。 

虽然 ， 路 由 器 的 “Lock-and-Key”( 动 态 访问 控制 列表 ) 功能 能 够 通过 动态 访问 控制 列表 
的 方式 ， 实 现 对 用 户 的 认证 ， 但 该 特性 需要 路 由 器 提供 Telnet 服务 ， 用 户 在 使 用 时 也 需要 先 
Telnet 到 路 由 器 上 ， 使 用 起 来 很 不 方便 ， 同 时 也 不 够 安全 〈 开 放 的 端口 为 黑客 创造 了 机 会 )。 


[3. 安全 策略 制定 的 复杂 程度 不 同 一 


路 由 器 的 默认 配置 对 安全 性 的 考虑 不 够 ， 需 要 一 些 高 级 配置 才能 达到 一 些 防范 攻击 的 作 
用 ， 且 安全 策略 的 制定 绝 大 多 数 都 是 基于 命令 行 的 ， 其 针对 安全 性 规则 的 制定 相对 比较 复杂 ， 
配置 出 错 的 概率 较 高 。 

NetEye 防火 墙 的 默认 配置 可 以 防止 各 种 攻击 ， 达 到 即 用 即 安全 ， 安 全 策略 的 制定 是 基于 
全 中 文 的 GUI (用 户 界 面 ) 的 管理 工具 ， 其 安全 策略 的 制定 人 性 化 ， 配 置 简单 、 出 错 率 低 。 


站 4 对 性 能 的 影响 不 同 


路 由 器 被 设计 用 来 转发 数据 包 ， 并 不 是 专门 设计 作为 全 特性 防火 墙 ， 所 以 用 于 进行 包 过 
滤 时 ， 需 要 进行 的 运算 非常 大 ， 对 路 由 器 的 CPU 和 内 存 的 需要 都 非常 大 ， 而 路 由 器 由 于 其 硬 
件 成 本 比较 高 ， 其 高 性 能 配置 时 硬件 的 成 本 都 比较 大 。 

NetEye 防火 墙 的 硬件 配置 非常 高 (采用 通用 的 Intel 芯片 ， 性 能 高 且 成 本 低 )， 其 软件 也 
为 数据 包 的 过 滤 进 行 了 专门 的 优化 ， 其 主要 模块 运行 在 操作 系统 的 内 核 模式 下 ， 设 计时 特别 
考虑 安全 问题 ， 其 进行 数据 包 过 滤 的 性 能 非常 高 。 

由 于 路 由 器 是 简单 的 包 过 滤 ， 包 过 滤 的 规则 条 数 的 增加 ，NAT 规则 的 条 数 的 增加 ， 对 路 
器 性 能 的 影响 都 相应 地 增加 ， 而 NetEye 防火 墙 采用 的 是 状态 包 过 滤 规 则 条 数 ，NAT 的 规则 
数 对 性 能 的 影响 接近 于 夫 。 

站 5 审计 功能 强 弱 的 差异 一 


路 由 器 本 身 没有 日 志 、 事件 的 存储 介质 , 只 能 通过 采用 外 部 的 日 志 服务 器 (如 syslog, trap) 
等 来 完成 对 日 志 、 事 件 的 存储 没有 审计 分 析 工 具 ， 对 日 志 、 事 件 的 描述 ， 采 用 不 太 容 易 理 
解 的 语言 。 而 且 ， 路 由 器 对 攻击 等 安全 事件 的 响应 不 完整 ， 对 于 很 多 的 攻击 、 扫 描 等 操作 不 
能 产生 准确 及 时 的 事件 。 另 外 ， 审 计 功能 的 弱化 ， 使 管理 员 不 能 对 安全 事件 进行 及 时 、 准 确 
的 响应 。 

NetEye 防火 墙 的 日 志 存 储 介质 有 两 种 ， 包 括 本 身 的 硬盘 存储 和 单独 的 日 志 服务 器 。 针 对 
这 两 种 存储 ， 均 提供 了 强大 的 审计 分 析 工 具 ， 使 管理 员 可 以 非常 容易 分 析出 各 种 安全 隐患 
其 次 ，NetEye 防火 墙 还 具有 实时 监控 功能 ， 可 在 线 监 控 通 过 防火 墙 的 连接 ， 同 时 能 够 捕捉 数 
据 包 进行 分 析 ， 为 排除 网 络 故障 提供 了 方便 。 


@ 
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6， 防 范 攻击 能 力 不 同 


对 于 Cisco 的 路 由 器 ,其 普通 版 本 不 具有 应 用 层 的 防范 和 入 侵 实 时 检测 等 功能 , 若 要 使 其 
具有 这 些 功 能 ， 则 需 升 级 IOS 为 防火 墙 特性 集 ， 此 时 不 但 要 承担 软件 的 升级 费用 ;同时 由 于 
这 些 功 能 都 需要 进行 大 量 的 运算 ， 还 需要 进行 硬件 配置 的 升级 ， 进 一 步 增加 了 成 本 ， 而 且 很 
多 厂家 的 路 由 器 不 具有 这 样 的 高 级 安全 功能 。 

综 上 所 述 ， 用 户 的 网 络 拓扑 结构 简单 与 否 、 用 户 应 用 程序 的 难 易 程 度 不 是 决定 是 否 应 该 
使 用 防火 墙 的 标准 ， 决 定 用 户 是 否 使 用 防火 墙 的 一 个 根本 条 件 是 用 户 对 网 络 安全 的 需求 。 

即使 用 户 的 网 络 拓扑 结构 和 应 用 都 非常 简单 ， 使 用 防火 墙 仍然 是 必需 的 和 必要 的 ;如果 
用 户 的 环境 、 应 用 比较 复杂 ， 那 么 防火 墙 将 能 够 带 来 更 多 的 好 处 ， 防 火 墙 将 是 网 络 建设 中 不 
可 或 缺 的 一 部 分 ， 对 于 通常 的 网 络 来 说 ， 路 由 器 将 是 保护 内 部 网 的 第 一 道 关口 ， 而 防火 墙 将 
是 第 二 道 关 口 ， 也 是 最 为 严格 的 一 道 关 口 。 


9.3 防火墙 的 体系 结构 


堡垒 主机 在 防火 墙 体系 结构 中 起 着 至 关 重要 的 作用 ， 它 专门 用 来 击 退 攻击 行为 。 网 络 防 
御 的 第 一 步 是 寻找 堡垒 主机 的 最 佳 位 置 ， 堡 又 主机 为 内 网 和 外 网 之 间 的 所 有 通道 提供 一 个 阻 
塞 点 。 没 有 堡 侄 主 机 就 不 能 连接 外 网 ， 同 样 外 网 也 不 能 访问 内 网 。 如 果 通 过 堡 爸 主机 来 集中 
网 络 权 限 ， 就 可 以 更 轻松 地 配置 软件 来 保护 网 络 。 

针对 各 种 类 型 的 防火 墙 来 讲 ， 其 应 用 结构 主要 可 分 为 包 过 滤 型 结构 、 双 宿 网 关 结 构 、 屏 
珊 主 机 结构 和 屏 项 子 网 结构 。 


1， 包 过 济 型 结构 门 

包 过 滤 型 结构 是 通过 专用 的 包 过 滤 路 由 器 ， 或 是 安装 了 包 过 滤 功 能 的 普通 路 由 器 来 实现 
的 。 包 过 滤 型 结构 对 进出 内 部 网 络 的 所 有 信息 进行 分 析 ， 按 照 一 定 的 安全 策略 对 这 些 信息 进 
行 分 析 与 限制 ， 如 图 9-6 所 示 。 


图 9-6 包 过 滤 型 结构 


包 过 滤 型 结构 处 理 速 度 快 、 费 用 低 且 对 用 户 透明 ， 结 构 简 单 ， 便 于 管理 。 但 是 ， 包 过 滤 
型 结构 对 于 包 过 滤 的 判断 只 限于 数据 包 的 头 信息 ， 并 不 涉及 包 的 内 容 ， 所 以 它 只 能 阻止 部 分 
JP 欺骗 的 数据 包 。 另 外 ， 包 过 渡 结 构 的 日 志 功 能 有 限 ， 不 能 从 日 志 中 发 现 黑客 的 攻击 记录 ， 
并 且 配 置 比较 烦琐 。 


连接 了 两 个 网 络 的 多 宿主 机 〈 具 有 多 个 网 络 连接 的 主机 ) 称 为 双 宿 主机 (Dual-Homed / 
Multi-Homed Firewall) 。 多 宿主 机 是 具有 多 个 网 络 接口 卡 的 主机 ， 每 个 接口 都 可 以 和 一 个 网 
络 连 接 。 因 为 它 能 在 不 同 的 网 络 之 间 进 行 数 据 交 换 ， 因 此 也 称 为 网 关 。 双 宿 网 关 结 构 是 用 一 
台 装 有 两 块 网 卡 的 主机 作为 防火 墙 ， 将 外 部 网 络 与 内 部 网 络 实现 物理 上 的 隔 开 ， 这 人 台 处 于 防 
火 墙 关键 部 位 且 运 行 应 用 级 网 关 软件 的 计算 机 系统 称 为 堡垒 主机 。 图 9-7 为 双 宿 网 关 结 构 。 


图 9-7 双 宿 /多 宿主 机 模式 


双 宿 网 关 的 结构 的 安全 性 较 高 ， 但 入 侵 者 一 旦 得 到 了 双 宿 网 关 的 访问 权 ， 即 可 入 侵 内 部 
网 络 。 所 以 在 设置 该 应 用 级 网 关 时 应 该 注意 以 下 几 点 。 
口 在 该 应 用 级 网 关 的 硬件 系统 上 运行 安全 可 信任 的 安全 操作 系统 。 
口 安全 应 用 代理 软件 ， 保 留 DNS、FTP、SMTP 等 必要 的 服务 ， 删 除 不 必要 的 服务 与 应 
用 软件 。 
口 设计 应 用 级 网 关 的 防 攻 击 方法 与 被 破坏 后 的 应 急 方 案 。 


屏蔽 主机 防火 墙 〔Screened Firewall) 结构 将 所 有 的 外 部 主机 强制 与 一 个 堡垒 主机 相连 ， 
从 而 不 允许 它们 直接 与 内 部 网 络 的 主机 相连 ， 如 图 9-8 所 示 。 因 此 ， 屏 蔽 主机 结构 是 由 包 过 滤 
路 由 器 和 堡垒 主机 组 成 的 。 屏 项 主机 实现 了 网 络 层 和 应 用 层 的 安全 ， 并 且 安 全 性 较 高 。 但 是 
堡 侄 主机 一 旦 被 绕 过 ， 则 堡 拿 主 机 和 其 他 内 部 网 络 的 主机 之 间 没 有 任何 保护 网 络 安全 的 措施 ， 
内 网 将 暴露。 

外 部 某 主机 想 要 访问 内 部 网 络 ， 该 主机 发 送 了 一 个 请 求 包 。 该 请 求 包 被 包 过 滤 路 由 器 接 
收 到 以 后 ， 先 从 数据 包 中 得 到 目的 地 址 ， 检 查 这 个 他 地 址 是 否 合法 。 如 果 合 法 ， 再 查询 转发 


路 由 表 , 得 到 该 人 P 地 址 相应 的 转发 目的 地 址 即 为 堡垒 主机 了 P 地 址 , 则 将 该 数据 包 转发 到 这 个 
堡 侄 主机 。 然 后， 再 通过 其 判断 这 个 请 求 的 主机 是 否 位 于 该 内 部 网 络 的 合法 用 户 。 如 果 合 法 ， 
则 将 该 请 求 数据 包 转发 到 内 网 。 这 个 数据 包 实 际 的 转发 路 径 应 为 “客户 主机 一 包 过 滤 路 由 器 一 人 
爸 主 机 一 被 请 求 的 内 网 计算 机 ”。 如 果 内 部 网 络 的 主机 要 访问 外 部 网 络 的 服务 器 ， 也 要 经 过 
保健 主机 与 包 过 滤 路 由 器 的 检查 。 


图 9-8 屏蔽 主机 结构 


子 网 屏蔽 防火 墙 体系 (Screened Subnet Mode Firewall) 结构 添加 额外 的 安全 层 到 主机 屏蔽 
体系 结构 ， 即 通过 添加 周边 网 络 更 进一步 地 把 内 部 网 络 与 外 网 隔离 ， 支 持 网 络 层 和 应 用 层 的 
安全 功能 。 

通常 ， 堡 公主 机 是 网 络 上 最 容易 受 攻击 的 机 器 。 任 赁 用 户 如何 保 护 ， 它 仍 有 可 能 被 突破 
或 入 侵 ， 因 为 没有 主机 是 绝对 安全 的 。 

在 主机 屏蔽 体系 中 ， 用 户 的 内 部 网 络 对 堡垒 主机 没有 任何 防御 措施 ， 如 果 黑 客 成 功 入 侵 
到 主机 屏蔽 体系 结构 中 的 堡垒 主机 ， 那 就 可 以 毫 无 阻挡 地 进入 内 部 网 络 。 通 过 在 周边 网 络 上 
隔离 堡垒 主机 ， 能 减少 在 堡垒 主机 上 人 入侵 的 影响 。 可 以 说 它 只 给 入 侵 者 一 些 访问 的 机 会 ， 但 
不 是 全 部 。 

屏蔽 子 网 体系 结构 的 最 简单 的 形式 为 使 用 两 个 屏蔽 路 由 器 ， 位 于 堡垒 主机 的 两 端 ， 一 端 
连接 内 网 ， 一 端 连 接 外 网 ， 如 图 9-9 所 示 。 为 了 入 侵 这 种 类 型 的 体系 结构 ， 入 侵 者 必须 穿 透 两 
个 屏蔽 路 由 器 。 即 使 入 侵 者 控制 了 堡垒 主机 ， 仍 然 需要 通过 内 网 端的 屏蔽 路 由 器 才能 到 达 
内 网 。 

在 构造 防火 墙 体系 时 ， 一 般 很 少 使 用 单一 的 技术 ， 通 常 都 是 多 种 解决 方案 的 组 合 。 这 种 
组 合 主要 取决 于 网 管 中 心 向 用 户 提供 什么 服务 ， 以 及 网 管 中 心 能 接受 什么 等 级 的 风险 。 还 要 
看 投资 经 费 、 投 资 大 小 、 技 术 人 员 的 水 平和 时 间 等 问题 。 一 般 包 括 下 面 几 种 形式 。 


9-9 ”屏蔽 子 网 结构 


口 使 用 多 个 堡 全 主机 。 

口 合并 内 部 路 由 器 和 外 部 路 由 器 。 
口 合并 堡 公主 机 和 外 部 路 由 器 。 
口 合并 堡 公主 机 和 内 部 路 由 器 。 
口 使 用 多 个 内 部 路 由 器 。 

口 使 用 多 个 外 部 路 由 器 。 

口 使 用 多 个 周边 网 络 。 

口 使 用 双 宿 主 主机 与 屏蔽 子 网 。 


9.4 防火 墙 的 主要 应 用 


网 络 中 ， 防 火 墙 的 部 署 并 不 只 是 将 它 的 LAN 端口 和 WAN 端口 分 别 与 局 域 网 线路 连接 和 
外 部 网 络 线路 连接 这 么 简单 ， 要 根据 实际 的 应 用 需求 而 定 ， 并 不 是 统一 的 ， 如 工作 在 何 种 模 
式 、 配 置 规则 是 否 需要 修改 等 。 


9.4.1 防火 墙 的 工作 模式 


目前 ， 防 火 墙 能 够 工作 在 路 由 模式 、 透 明 模式 、 混 合 模式 这 3 种 模式 下 。 若 防火 墙 以 网 
络 层 对 外 连接 (接口 具有 卫 地 址 )， 则 认为 防火 墙 工作 在 路 由 模式 下 ; 若 防火 墙 通过 数据 链 路 
层 对 外 连接 (接口 无 地 址 ), 则 防火 墙 工 作 在 透明 模式 下 ; 若 防火 墙 同时 具有 工作 在 路 由 模 
式 和 透明 模式 的 接口 〈 某 些 接口 具有 人 P 地 址 ， 某 些 接口 无 P 地 址 )， 则 防火 墙 工作 在 混合 模 
式 下 。 下 面 分 别 进行 介绍 。 


当 防 火 墙 位 于 内 部 网 络 和 外 部 网 络 之 间 时 ， 需 要 将 防火 墙 与 内 部 网 络 、 外 部 网 络 以 及 


DMZ3 个 区 域 相连 的 接口 ， 分 别 配 置 成 不 同 网 段 的 他 地 址 ， 重 新 规划 原 有 的 网 络 拓扑 ， 此 时 
相当 于 一 台 路 由 器 。 如 图 9-10 所 示 ， 防 火 墙 的 Trust 区 域 接口 与 公司 内 部 网 络 相连 ，Untrust 
区 域 接口 与 外 部 网 络 相连 。 并 且 Trust 区 域 接口 和 Untrust 区 域 接口 分 别处 于 两 个 不 同 的 子 
网 中 。 


10.110.1.254 


内 部 网 络 外 部 网 络 (Internet) 
10.110.1.0/24 202.10.0.0/24 


9-10 ”路 由 模式 组 网 图 


采用 路 由 模式 时 ， 可 以 实现 ACL (访问 列表 ) 包 过 滤 、aspf 动态 过 滤 (application specific 
packet filter， 针 对 应 用 层 的 包 过 滤 )、NAT 转换 等 功能 。 然 而 ， 路 由 模式 需要 对 网 络 拓扑 进行 
修改 〈 内 部 网 络 用 户 需要 更 改 网 关 、 路 由 器 需要 更 改 路 由 配置 等 )， 此 操作 较为 复杂 ， 因 此 在 
使 用 该 模式 时 需 权 衡 利 弊 。 


防火 墙 工作 在 路 由 模式 时 ， 所 有 接口 都 配置 IP 地 址 ， 各 接口 所 在 的 安全 区 域 属于 三 层 区 
域 ， 即 配置 瑟 地 址 的 接口 所 在 的 区 域 是 三 层 区 域 。 且 不 同 三 层 区 域 相 关 的 接口 连接 的 外 部 用 
户 属于 不 同 的 子 网 。 

当 报 文 在 三 层 区 域 的 接口 间 进行 转发 时 ， 根 据 报 文 的 了 P 地 址 来 查找 路 由 表 。 此 时 ， 防 火 
墙 则 充当 路 由 器 。 但 防火 墙 与 路 由 器 存在 不 同 ， 防 火 墙 中 他 报 文 还 需 送 到 上 层 ( 传 输 层 ) 进 
行 相关 过 滤 等 处 理 ， 通 过 检查 会 话 表 或 ACL 规则 以 确定 是 否 允许 该 报 文通 过 。 

此 外 , 还 将 进行 其 他 防 攻击 检查 , 路 由 模式 的 防火 墙 支持 ACL 规则 检查 、aspf 状态 过 滤 、 
防 攻 击 检查 、 流 量 监控 等 功能 。 


如 果 防 火 墙 采用 透明 模式 进行 工作 ， 则 可 以 避免 因 改变 拓扑 结构 造成 的 麻烦 ， 此 时 防火 
墙 对 于 子 网 用 户 和 路 由 器 来 说 是 完全 透明 的 。 也 就 是 说 ， 用 户 完全 感觉 不 到 防火 墙 的 存在 。 

采用 透明 模式 时 ， 只 需 在 网 络 中 像 放 置 网 桥 (bridge) 一 样 插入 一 台 防 火 墙 设备 即 可 ,无 
需 修改 任何 已 有 的 配置 。 与 路 由 模式 相同 ，IP 报 文 同 样 经 过 相关 的 过 滤 检 查 〈 但 是 卫 报 文中 
的 源 或 目的 地 址 不 会 改变 )， 内 部 网 络 用 户 依旧 受到 防火 墙 的 保护 。 防 火 墙 透明 模式 的 典型 组 
网 方式 如 图 9-11 所 示 。 

如 图 9-11 所 示 ， 防 火 墙 的 Trust 区 域 接口 与 公司 内 部 网 络 相连 ，Untrust 区 域 接口 与 外 部 
网 络 相连 ， 需 要 注意 的 是 内 部 网 络 和 外 部 网 络 必须 处 于 同一 个 子 网 。 


内 部 网 络 202.10.0.0/24 外 部 网 络 (Internet) 
图 9-11 透明 模式 的 组 网 方式 


防火 墙 工 作 在 透明 模式 (也 可 以 称 为 桥 模式 ) 下 ， 此 时 所 有 接口 都 不 能 配置 IP 地 址 ， 接 
口 所 在 的 安全 区 域 为 二 层 区 域 ， 且 与 二 层 区 域 相 关 接 口 连接 的 外 部 用 户 同 属 一 个 子 网 。 

当 报 文 在 二 层 区 域 的 接口 间 进行 转发 时 , 需要 根据 报 文 的 MAC 地 址 来 寻找 出 接口 , 这 时 
防火 墙 充当 透明 网 桥 。 不 过 防火 墙 与 网 桥 存 在 不 同 ， 防 火 墙 中 IP 报 文 还 需 送 到 上 层 进行 相关 
过 滤 等 处 理 ， 通 过 检查 会 话 表 或 ACL 规则 以 确定 是 否 允 许 该 报 文 通过 。 另 外 ， 还 要 完成 其 他 
防 攻击 检查 。 透 明 模式 的 防火 墙 支持 ACL 规则 检查 、aspf 状态 过 滤 、 防 攻击 检查 、 流 量 监控 
等 功能 。 

工作 该 模式 下 的 防火 墙 在 数据 链 路 层 连 接 局 域 网 (CLAN)， 网 络 终端 用 户 无 需 为 连接 网 络 
而 对 设备 进行 特别 配置 ， 类 似 一 个 局 域 网 交换 机 来 进行 网 络 连接 。 透 明 模 式 工作 过 程 分 为 如 
下 几 个 阶段 。 

口 获取 地 址 表 过 程 

采用 透明 模式 ， 防 火 墙 依据 MAC 地 址 表 (由 MAC 地 址 和 接口 两 部 分 组 成 ) 进行 转发 。 
透明 模式 防火 墙 必须 获取 MAC 地 址 和 接口 的 对 应 关系 。 

透明 模式 防火 墙 要 获取 MAC 地 址 和 接口 对 应 关系 , 首先 为 广播 消息 包 过 程 。 即 在 它 与 物 
理 网 段 相 连 时 ， 会 监测 该 物理 网 段 上 的 所 有 以 太 网 帧 ， 一 旦 监测 到 某 个 接口 上 节点 发 来 的 以 
太 网 帧 ， 就 提取 出 该 帧 的 源 MAC 地 址 ， 并 将 该 MAC 地 址 与 接收 该 帧 的 接口 之 间 的 对 应 关系 
加 入 到 MAC 地 址 表 中 ， 如 图 9-12 所 示 。 


00e0.fcaa.aaaa 00e0.fcbb.bbbb 


is 
以 太 网 段 1 
00e0 fece.ccce S| 00e0.fcdd.dddd 
NN 
计算 机 C 防火墙] 端口 2 计算 机 D 


以 太 网 段 2 


图 9-12 广播 消息 包 


A、B、C 和 D 四 台 计 算 机 分 布 在 两 个 局 域 网 中 ， 以 太 网 段 1 与 透明 模式 防火 墙 端口 1 相 
连 ， 以 太 网 段 2 与 端口 2 相连 。 某 一 时 刻 ， 当 工作 站 A 向 工作 站 B 发 送 以 太 网 帧 时 ， 透 明 模 
式 防火 墙 和 计算 机 B 都 将 收 到 这 个 帧 。 

其 次 ， 是 透明 模式 防火 墙 反 向 学 习 计算 机 A 的 MAC 地 址 和 端口 对 应 关系 过 程 。 当 防火 
墙 收 到 这 个 以 太 网 帧 后 ， 就 知道 计算 机 与 防火 墙 端 口 1 相连 (因为 从 端口 1 收 到 了 该 帧 )， 此 
时 计算 机 A 的 MAC 地 址 与 防火 墙 端口 1 的 对 应 关系 , 就 被 加 入 到 MAC 地 址 表 中 , 如 图 9-13 
所 示 。 


00eQ.,fcaa.aaaa 00e0.fcbb.bbbb 


SN 端口 1 
村 00e0.fedd.dddd 
NSSS 


图 9-13 反 向 学 习 计 算 机 A 的 MAC 地 址 与 端口 对 应 关系 


然后 ， 则 为 透明 模式 防火 墙 反 向 学 习 计算 机 B 的 MAC 地 址 和 端口 对 应 关系 过 程 。 当 计 
算 机 B 对 计算 机 A 的 以 太 网 帧 作出 响应 后 ， 防 火 墙 也 能 监测 到 计算 机 B 回应 的 以 太 网 帧 ， 并 
知道 计算 机 B 也 与 防火 墙 端口 1 相连 《因为 从 接口 1 收 到 了 该 帧 )。 此 时 ， 计 算 机 B 的 MAC 
地 址 与 防火 墙 端口 1 的 对 应 关系 也 被 加 入 到 MAC 地 址 表 中 ， 如 图 9-14 所 示 。 


00e0.fcbb.bbbb 


00e0.fedd.dddd 


00e0.fecc.cccc SS 
请 Sm 


[| 
[mass| | 
1 本 末 卫 


计算 机 C 


CC 


以 太 网 段 2 
9-14 ” 反 向 学 习 计 算 机 B 的 MAC 地 址 与 端口 对 应 关系 


反 向 学 习 过 程 一 直 进 行 , 直到 所 有 MAC 地 址 与 接口 的 对 应 关系 (本 例 中 为 计算 机 A、B、 
C、D)， 都 会 被 透明 模式 防火 墙 获 取 〈 假 设 所 有 的 计算 机 都 在 使 用 中 )。 


口 转发 和 过 小 

在 链 路 层 ， 透 明 模式 防火 墙根 据 查找 地 址 表 成 功 后 转发 处 理 、 查 找 地 址 表 成 功 后 不 转发 
(过 滤 〉 处理 和 查找 地 址 表 失 败 后 转发 处 理 3 种 情况 对 数据 帧 作出 转发 或 不 转发 〈 即 过 滤 ) 
处 理 。 

若 计算 机 A 向 计算 机 C 发 送 以 太 网 帧 ,透明 模式 防火 墙 通过 查找 地 址 表 知 道 计算 机 C 与 
端口 2 对 应 ， 则 将 该 帧 从 端口 2 转发 出 去 ， 即 查找 地 址 成 功 后 转发 处 理 数据 情况 。 另 外 ， 当 
透明 模式 防火 墙 在 某 端口 接收 到 广播 帧 或 多 播 帧 时 ， 也 将 向 其 他 端口 进行 转发 ， 如 图 9-15 


所 示 。 


00e0.fcaa .aaaa 00e0.fcbb.bbbb 
计算 机 A 计算 机 B 
源 地 址 目标 地 址 


以 太 网 段 1 


MAC 地 址 
| ooeoreaaaama | 1 | 
00e0.fcbb.bbbb | 1 | ~ 
00e0.fece.cece 
| opeeeee | 2 
SS 动 计算 机 C| ooe0.fedddddd | 2 


OO.feaaaaoa 


目标 地 址 源 地 址 
图 9-15 ”查找 地 址 表 成 功 后 的 转发 处 理 
若 计算 机 A 向 计算 机 B 发 送 以 太 网 帧 ， 由 于 计算 机 B 与 计算 机 A 在 同一 个 物理 网 段 上 ， 


透明 模式 防火 墙 对 此 帧 进行 过 滤 ， 不 转发 该 帧 ， 即 查找 地 址 表 成 功 后 数据 不 转发 〈 过 滤 ) 处 
理 ， 如 图 9-16 所 示 。 


00e0,fcdd.dddd 


计算 机 D 


以 太 网 段 2 


O00e0.fcaa.aaaa 00e0.fcbb.bbbb 


计算 机 A 
源 地 址 


O00e0.fcaa.aaaa 


目标 地 址 
O00e0.fcbb.bbbb 
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O00e0.fcaa.aaaa | | 端 D1 
O0e0.fece.cece | ooeoiebbbbbb | 1 | 00e0.fedd.dddd 
roe 
好 ms 
不 转发 


以 太 网 段 2 
图 9-16 ”查找 地 址 表 成 功 后 不 转发 〈 过 滤 ) 处 理 


若 计算 机 A 向 计算 机 C 发 送 以 太 网 帧 ， 而 在 地 址 表 中 未 找到 关于 计算 机 C 的 MAC 地 址 


与 端口 的 对 应 关系 ,此 时 , 透明 模式 防火 墙 会 把 这 个 发 往 未 知 目的 MAC 地 址 的 帧 向 除 发 送 该 
帧 的 源 端 口外 的 其 他 所 有 端口 进行 转发 ， 如 图 9-17 所 示 ， 这 属于 查找 地 址 失败 后 转发 处 理 情 
况 。 在 这 种 情况 下 ， 透 明 模式 防火 墙 充当 的 实际 上 是 集线器 角色 ， 从 而 确保 没有 停止 信息 的 
传送 。 


00e0.fcaa.aaaa 00e0.fcbb.bbbb 


MAC 地 址 表 
wasnun [oom | 1 | 
wise 
S 


Cs 


00e0.fedd.dddd 


计算 机 D 


以 太 网 段 2 


9-17 查找 地 址 失败 后 转发 处 理 


若 防火 墙 既 存 在 工作 在 路 由 模式 的 接口 〈 接 口 具有 IP 地 址 )， 又 存在 工作 在 透明 模式 的 
接口 〈 接 口 无 卫 地 址 )， 则 称 防火 墙 工作 在 混合 模式 下 。 

混合 模式 主要 用 于 透明 模式 作 双 机 备份 的 情况 ， 此 时 启动 vrp (virtual router redundancy 
protocol， 虚 拟 路 由 元 余 协议 ) 功能 的 接口 需要 配置 IP 地 址 ， 其 他 接口 不 配置 卫 地 址 。 防 火 
墙 混合 模式 的 典型 组 网 方式 如 图 9-18 所 示 。 


内 部 网 络 | 护 X 墙 ( 备 ) 外 部 网 络 (Internet) 
202.10.0.0/24 202.10.0.0/24 


9-18 ”混合 模式 组 网 图 


如 图 9-18 所 示 ， 主 / 备 防火 墙 的 Trust 区 域 接口 与 公司 内 部 网 络 相 连 ，Untrust 区 域 接口 与 
外 部 网 络 相 连 ， 主 / 备 防火 墙 之 间 通 过 集线器 或 局 域 网 交换 机 实现 互相 连接 ， 并 运行 vnrp 协议 


进行 备份 。 需 要 注意 的 是 内 部 网 络 和 外 部 网 络 必 须 处 于 同一 个 子 网 。 


防火 墙 工作 在 混合 透明 模式 时 ， 部 分 接口 配置 卫 地 址 ， 部 分 接口 不 能 配置 IP 地 址 。 配 置 
JP 地 址 的 接口 所 在 的 安全 区 域 (三 层 区 域 )， 接 口上 启动 vrrp 功能 ， 用 于 双 机 热 备 份 ; 而 未 配 
置 了 P 地址 的 接口 所 在 的 安全 区 域 (二 层 区 域 ), 和 二 层 区 域 相关 接口 连接 的 外 部 用 户 同属 一 个 
子 网 。 

当 报 文 在 二 层 区 域 的 接口 间 进 行 转发 时 ， 转 发 过 程 与 透明 模式 的 工作 过 程 完 全 相同 。 当 
防火 墙 进 行 双 机 热 备份 时 ， 转 发 过 程 类 似 路 由 模式 的 工作 过 程 中 的 描述 。 


9.4.2 ”防火 墙 的 配置 规则 


前 面 介绍 了 防火 墙 的 规则 , 提 到 了 “防火 墙 规则 ”(Firewall Rules), 规则 是 防火 墙 的 思维 ， 
它们 其 实 是 一 条 条 描述 语句 ， 用 于 设置 防火 墙 行为 等 ， 每 一 条 规则 都 对 应 了 一 种 特定 的 行为 
判断 ， 防 火 墙根 据 规则 的 内 容 对 符合 条 件 〈 端 口 、 协 议 类 型 ， 甚 至 包 数 据 ) 的 数据 包 给 予 拦 
截 或 通行 ， 当 然 也 可 以 记录 数据 。 正 是 由 于 这 些 众多 的 规则 结合 ， 防 火 墙 才能 给 网 络 带 来 一 
个 牢固 而 灵活 的 安全 保护 体系 。 

配置 防火 墙 规则 比较 复杂 ， 一 个 防火 墙 的 工作 效率 、 拦 截 放 行 、 总 体 安 全 系数 除了 要 求 
防火 墙 的 引擎 功能 强大 之 外 ， 关 键 在 于 防火 墙 规则 的 设置 ， 如 果 防 火 墙 引擎 不 能 识别 复杂 的 
数据 包 结构 ， 那 么 一 些 描述 复杂 的 规则 就 不 能 正常 工作 ， 但 一 个 防火 墙 越 强 大 ， 其 相应 的 规 
则 设置 也 就 越 复杂 ， 对 于 防火 墙 而 言 ， 一 条 好 的 规则 就 比 什么 都 重要 。 

规则 的 设置 ， 是 围绕 着 一 定 的 “安全 策略 ”实施 ， 许 多 防火 墙 产品 在 市 场 上 出 售 时 ， 已 
经 存在 默认 规则 ， 而 这 些 规则 就 是 厂商 的 “安全 策略 ”的 实体 对 象 ， 许 多 用 户 安装 或 购买 一 
个 防火 墙 产品 后 ， 就 一 直 没 对 这 些 规 则 做 过 修改 ， 或 者 不 知道 防火 墙 规则 的 存在 ， 但 他 们 依 
然 能 得 到 防火 墙 的 保护 ， 正 是 因为 厂商 已 经 为 这 些 防 火 墙 套用 了 “兼容 的 ”规则 集合 。 

换 句 话说， 用 户 在 接受 一 款 防火 墙 产品 时 ， 就 已 经 得 到 了 厂商 定制 的 “安全 策略 ”。 但 
这 种 面 对 大 众 的 策略 并 不 一 定 适 合 每 一 个 人 。 有 时 ， 一 些 用 户 会 觉得 默认 规则 不 太 适 合 自己 
的 实际 环境 ， 他 们 便 会 根据 自己 的 要 求 ， 修 改 增加 这 个 规则 集合 。 

例如 ， 一 台 网 站 服务 器 ， 使 用 的 防火 墙 默认 规则 里 限制 了 外 部 对 1024 以 下 低 端 口号 的 访 
间 ， 这 和 做 网 站 需要 开放 80 端口 的 要 求 相 冲突 ， 所 以 网 络 管理 员 将 修改 防火 墙 规则 ， 去 掉 这 
条 限制 规则 或 者 从 规则 里 除 掉 80 端口 的 条 件 ， 即 防火 墙 “ 安 全 策略 ”实施 的 过 程 。 

另外 ， 在 防火 墙 配置 规则 中 ， 规 则 次 序 也 是 一 个 不 可 忽略 的 配置 部 分 。 因 为 大 部 分 防火 
墙 产品 是 按照 顺序 读 取 规 则 设置 的 ， 如 果 发 现 了 一 条 匹配 的 规则 ， 那 么 下 面 的 其 他 规则 描述 
则 被 忽略 掉 ， 所 以 规则 的 排列 次 序 决定 着 防火 墙 的 运作 情况 ， 管 理 员 在 配置 规则 时 必须 把 属 
于 特殊 性 质 而 又 不 容易 与 其 他 现存 规则 发 生 冲 突 的 规则 放 到 最 前 面 ， 最 大 限度 防止 防火 墙 在 
找到 一 个 特殊 规则 之 前 与 普通 规则 相 匹 配 ， 而 导致 管理 员 设 置 的 安全 规则 失效 。 

前 面 已 经 提 到 ， 防 火 墙 规则 就 是 一 条 条 用 于 描述 防火 墙 在 遇 到 什么 类 型 的 数据 包 时 应 该 
怎么 做 的 命令 语句 ， 根 据 防火 墙 核心 能 识别 的 深度 差异 ， 不 同 防火 墙 的 规则 定义 也 不 尽 相 同 ， 
但 是 基本 上 都 离 不 开 这 几 个 基本 参数 : 数据 包 方向 、 数 据 包 地 址 、 范 围 、 协 议 类 型 、 端 口号 、 


标志 位 〈TCP)、 包 类 型 和 代码 ICMP) 以 及 满足 条 件 时 的 防火 墙 动作 〈 通 行 、 拦 截 、 忽 略 、 
记录 ) 等 。 

正 是 这 些 参数 的 各 种 搭配 ， 才 构筑 了 最 终 能 够 保护 用 户 免 遭 网 络 攻 击 的 一 条 条 规则 ， 成 
为 用 户 的 安全 体系 结构 ， 一 款 防火 墙 产品 核心 能 识别 的 数据 类 型 越 多 ， 相 应 的 规则 设 定 就 越 
复杂 。 因 此 ， 在 进行 防火 墙 规则 设置 时 必须 进行 认真 规划 。 


9.4.3 1ISA Server 的 应 用 


ISA Server 和 目前 广泛 使 用 的 其 他 防火 墙 存 在 许多 不 同 , 但 最 根本 的 区 别 是 ISA Server 结 
合 了 状态 过 滤 〈 包 过 滤 ) 和 应 用 层 状 态 识 别 ， 并 且 提 供 了 VPN 服务 和 Web 代理 /缓存 服务 ， 
使 其 他 防火 墙 和 IJSA Server 相 比 显得 有 些 低 能 。 

ISA Server 的 另 一 个 关键 组 成 则 是 它 可 以 对 通过 它 的 任何 连接 进行 身份 验证 。 和 传统 的 状 
态 过 滤 防 火 墙 相 比 ，ISA Server 可 以 对 任何 通过 它 的 TCP 或 UDP 连接 进行 透明 的 身份 验证 。 
因此 ， 不 仅 可 以 在 外 部 〈Intemet) 访问 内 部 网 络 时 加 以 保护 ， 也 可 以 在 内 部 用 户 访问 外 部 网 
络 时 进行 基于 用 户 / 用 户 组 的 控制 。 

传统 的 防火 墙 管理 员 一 般 只 是 理解 “开放 端口 ” 而 通过 ISA Server 提供 的 用 户 /用 户 组 控 
制 ，ISA Server 管理 员 则 可 以 监控 到 访问 外 部 网 络 的 用 户 和 应 用 程序 。 这 样 ， 在 需要 对 网 络 活 
动 进行 控制 和 分 析 报告 时 ， 可 很 容易 做 到 。 


为 了 从 功能 角度 描述 在 被 定义 的 网 络 间 ， 何 种 通信 是 被 允许 的 ，ISA Server 使 用 了 一 组 3 
个 规则 列表 的 集合 。 

口 网 络 规 则 

该 列表 定义 并 描述 了 网 络 的 拓扑 结构 。 这 些 规 则 用 于 决定 两 个 网 络 实体 间 是 否 具 有 路 由 
关系 及 何 种 路 由 关系 被 定义 (路 由 还 是 NAT)。 当 网 络 实体 间 没 有 配置 任何 关系 ， 那 么 ISA 
Server 将 丢弃 两 个 网 络 间 的 所 有 通信 数据 。 正 确定 义 网 络 对 象 和 它们 之 间 的 路 由 关系 对 于 ISA 
Server 显得 非常 重要 。 

口 系统 策略 

该 列表 包含 了 30 条 ISA Server 预定 义 的 、 应 用 于 本 地 计算 机 的 访问 策略 。 所 以 ， 它 们 控 
制 着 ISA Server 本 身 “从 /到 ”的 通信 ， 并 启用 需要 的 诸如 验证 、 网 络 诊断 、 日 志和 远程 管理 
等 功能 。 这 些 规则 只 是 “允许 ”规则 ， 只 可 以 启用 或 禁用 这 些 规则 ， 或 者 对 其 中 的 一 些 规则 
属性 进行 少量 的 修改 。 

口 防火 墙 策略 

该 列表 包含 了 自 定义 的 所 有 规则 。 这 是 一 个 经 过 排序 的 简单 列表 ， 涵 盖 了 两 种 可 能 的 规 
则 类 型 , 即 访问 规则 和 发 布 规则 。 在 此 列表 的 最 后 一 条 预定 义 的 默认 规则 为 Deny 4 ALL (Deny 
ALL users use ALL protocols from ALL networks to ALL networks， 拒 绝 所 有 用 户 发 起 的 从 所 有 
网 络 到 所 有 网 络 的 所 有 协议 的 访问 )。 这 个 默认 规则 不 能 修改 或 删除 ， 所 以 对 于 任何 允许 或 者 
阻止 的 通信 都 有 ISA Server 的 一 条 明确 规则 完成 。 

对 于 所 有 的 访问 请 求 ，ISA Server 如 何 应 用 上 述 3 条 规则 列表 如 图 9-19 所 示 。 


应 用 网 络 策略 
进行 规则 评估 


9-19 ”ISA Server 规则 的 处 理 


首先 , ISA Server 检查 网 络 规则 以 确定 两 个 网 络 实体 间 是 否定 义 了 路 由 关系 ， 如 果 源 网 络 
和 目标 网 络 之 间 定义 了 路 由 关系 ， 那 么 ISA Server 将 进一步 处 理 客户 的 出 站 请 求 ， 否 则 拒绝 。 

然后 ，ISA Server 按 顺序 检查 系统 策略 规则 和 防火 墙 策略 规则 。 如 果 某 个 系统 或 者 防火 墙 
策略 规则 允许 了 此 请 求 ， 则 ISA Server 将 进一步 处 理 出 站 请 求 ， 否 则 拒绝 。 

最 后 ，ISA Server 再 次 检查 网 络 规则 以 确定 数据 包 的 路 由 方式 是 路 由 还 是 NAT， 如 果 是 
Web Proxy 客户 端 请 求 对 象 ，ISA Server 将 会 检查 Web 连接 规则 ， 以 确定 请 求 如 何 被 处 理 。 

很 明显 ， 网 络 规则 处 理 的 逻辑 非常 简单 明了 ， 即 是 否定 义 了 两 个 网 络 实体 间 的 路 由 关系 。 
但 对 于 ISA Server 如 何 确定 一 个 系统 策略 或 防火 墙 策 略 的 规则 ， 人 允许 或 拒绝 此 通信 却 并 非 屠 
么 简单 。 在 此 ， 所 了 解 的 只 有 系统 策略 优先 于 防火 墙 策 略 进行 处 理 ， 即 ISA Server 对 系统 策 
略 和 防火 墙 策略 的 处 理 的 方式 是 一 致 的 。 


ISA Server 主要 控制 源 网 络 和 目标 网 络 之 间 的 通信 , 且 源 计算 机 和 目标 计算 机 必须 位 于 不 
同 的 网 络 中 。 也 就 是 说 ， 不 能 通过 ISA Server 循环 访问 与 其 在 同一 网 段 的 资源 (虽然 这 样 可 
以 实现 ， 但 会 给 ISA Server 带 来 很 大 的 性 能 负担 )。 

另外 , ISA Server 严格 按照 顺序 评估 防火 墙 策略 。 如 果 一 条 访问 规则 匹配 某 个 请 求 的 参数 ， 
则 此 规则 将 被 应 用 ， 然 后 ISA Server 不 再 将 此 请 求 与 其 他 任何 规则 进行 匹配 。 

还 需要 记 住 的 是 系统 策略 优先 于 防火 墙 策略 进行 处 理 ， 且 ISA Server 对 系统 策略 和 防火 
墙 策略 的 处 理 方式 是 一 致 的 。 即 一 个 完整 的 防火 墙 策略 系统 ， 可 被 认为 是 一 个 单一 排序 的 序 
号 从 1 到 30 的 系统 策略 规则 ， 加 上 从 序号 31 开始 的 防火 墙 策略 规则 及 最 后 的 默认 规则 的 列 
表 。 因 此 ， 如 果 一 条 系统 策略 规则 和 一 条 防火 墙 策略 规则 同时 匹配 某 个 客户 发 起 的 请 求 ， 那 
么 总 是 会 应 用 系统 策略 规则 。 

需要 注意 的 是 ， 访 问 规则 是 按照 出 站 方向 的 主要 连接 端口 来 进行 处 理 ， 所 以 在 创建 访问 
规则 时 ， 不 能 使 用 入 站 方向 的 协议 。 
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在 进一步 讨论 规则 前 ， 有 必要 先 总 结 一 下 几 种 ISA 客户 端 类 型 的 不 同 点 。 表 9-1 总 结 了 3 
种 ISA 客户 端 是 如 何 发 送 请 求 及 是 否 支持 身份 认证 。 


表 9-1 ISA 客户 端 类 型 及 对 应 的 请 求 、 认 证 信息 


ISA 客户 端 类 型 如 何 发 送 请 求 是 否 支持 身份 认证 

Web 代理 客户 根据 用 户 的 输入 使 用 TQDN (完全 ”支持 CHTTP/HTTPS/ 封 装 FTP) 
合格 域名 ) 或 他 地 址 (提示) 

防火 墙 客户 总 使 用 下 地 址 (提示) 支持 (所 有 基于 TCP/UDP 的 协议 ) 

SNAT 客户 总 使 用 他 地址 不 支持 


对 于 所 有 的 非 HTTP/HTTPS 请 求 来 说 是 正确 的 ,对 于 HTTP/HTTPS 请 求 , ISA 
Server 总 是 检查 HTTP 头 中 的 计算 机 字段 , 而 不 是 请 求 的 目标 计算 机 地 址 ( 网 
络 层 地 址 )。 对 于 Web 代理 客户 ，HTTP 主机 头 的 值 依赖 于 用 户 的 输入 


@ 3. 匹配 标准 门 
现 有 的 问题 在 于 ， 客 户 的 访问 请 求 怎样 才能 匹配 访问 规则 中 定义 的 策略 元 素 。 如 果 请 求 
匹配 访问 规则 的 策略 元 素 ，ISA Server 则 运行 此 规则 处 理 客 户 的 访问 请 求 。 检查 规则 的 顺序 为 
协议 、 从 《〈 源 网 络 )、 计 划 时 间 、 到 《目标 网 络 )、 用 户 、 内 容 类 型 ， 如 表 9-2 所 示 。 
表 9-2 ISA Server 匹配 访问 规则 的 策略 元 素 及 含义 


策略 元 素 含义 

协议 访问 规则 中 为 出 站 方向 定义 的 主要 连接 端口 范围 ， 可 以 是 一 个 或 多 个 协议 

从 ( 源 网 络 ) 发 起 连接 的 一 个 或 更 多 的 网 络 对 象 ， 可 以 包含 网 络 、 网 络 集 、 计 算 机 、 计 算 机 集 、 
地 址 范围 或 子 网 

计划 时 间 定义 的 任何 计划 时 间 


到 (目标 网 络 ) 连接 到 一 个 或 更 多 的 目标 网 络 ， 可 以 包含 网 络 、 网 络 集 、 计 算 机 、 计 算 机 集 、 地 址 
范围 、 子 网 、 域 名 集 或 URL 集 


用 户 一 个 或 更 多 的 用 户 对 象 ， 可 以 包含 所 有 用 户 、 所 有 经 过 认证 的 用 户 、 系 统 和 网 络 服 
务 和 其 他 定义 的 用 户 集 
内 容 类 型 定义 的 任何 内 容 类 型 


表 9-2 的 一 些 元 素 很 好 理解 ， 如 协议 、 从 〈 源 网 络 ) 和 计划 时 间 ， 对 于 它们 很 容易 区 分 是 
否 匹 配 。 但 对 于 到 (目标 网 络 )、 用 户 集 、 和 内 容 类 型 这 3 个 条 件 ， 则 不 是 那么 容易 理解 的 。 
例如 ， 在 一 条 访问 规则 要 求 认 证 ， 而 客户 端 发 起 的 请 求 不 能 通过 认证 时 ，ISA Server 会 对 该 请 
求 采 取 怎 样 的 处 理 方式 呢 ? 或 在 一 条 允许 指定 URL/ 内 容 类 型 且 包 含 HTTP/HTTPS 协议 的 访 
问 规则 中 ，ISA Server 怎样 处 理 ? 需要 对 其 进行 进一步 阐述 。 

口 URL 集 

当 在 策略 元 素 的 到 (目标 网 络 ) 中 ， 指 定 URL 集 ， 然 后 访问 规则 的 协议 中 包含 非 Web 
协议 (或 HTTP、HTTPS、 封 装 FTP 协议 )，ISA Server 会 怎样 处 理 ? 

在 ISA Server 处 理 到 (目标 网 络 ) 包含 有 URL 集 规则 时 ， 规 则 到 (目标 网 络 ) 中 的 URL 
集 只 对 Web 协议 (HTTP、HTTPS、 封 装 FTP 协议 ) 有 效 , 但 对 于 HTTPS 传输 ，URL 集 只 有 
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在 没有 指定 路 径 时 进行 匹配 。 如 果 客 户 使 用 其 他 协议 进行 访问 ， 那 么 ISA Server 将 会 忽略 规 
则 中 的 URL 元 素 集 。 
为 了 进行 验证 ， 可 修改 防火 墙 策略 ， 修 改 后 的 防火 墙 策略 如 表 9-3 所 示 。 


表 9-3 修改 后 的 防火 墙 策略 


序号 协议 从 计划 时 间 “到 用 户 集 内 容 类 型 ”动作 87 
FTP、HTTP ”内 部 Always URLs 所 有 用 户 全 部 允许 
2 FTP、HTTP ”内 部 Always IPs 所 有 用 户 全 部 允许 
Last ALL ALL Always ALL ALLUsers ALL Deny 


此 时 ， 若 使 用 FTP〈 非 封装 的 FTP) 访问 www.cevi.be 和 www.pouseele.be 时 ， 可 看 到 客户 
请 求 是 被 规则 2 允许 ， 而 不 能 匹配 规则 1。 

从 男 一 方面 说 ， 当 ISA Server 为 非 Web 协议 的 访问 忽略 了 访问 规则 中 的 URL 集 , 且 在 访 
问 规则 的 到 (目标 网 络 》 中 未 指定 其 他 值 时 ,ISA 将 不 能 匹配 这 条 规则 ， 即 这 条 规则 将 永远 不 
会 执行 , 而 不 管 它 是 被 允许 还 是 拒绝 。 如 果 在 规则 1 的 目标 网 络 中 , 添加 FQDN (www.cevi.be) 
后 再 进行 策略 ， 此 时 可 发 现 到 达 www.cevi.be 的 FTP 访问 将 被 规则 1 允许 ,而 到 达 www.pous- 
eele.be 的 FTP 访问 将 被 规则 2 允许 。 

口 用 户 集 

当 建 立 防 火 墙 策略 后 ， 可 将 它们 应 用 到 指定 用 户 的 瑟 地 址 或 用 户 集 。 在 指定 用 户 集 时 ， 
此 用 户 必 须 进行 验证 ， 出 示 他 的 验证 信息 ， 然 后 ISA Server 对 规则 进行 匹配 。 用 户 集 可 包含 
任何 认证 方式 的 一 个 或 多 个 用 户 。 例 如 ， 一 个 用 户 集 可 包含 Windows 用 户 、Radius 用 户 和 
SecurID 用 户 。ISA Server 预定 义 了 如 表 9-4 所 示 的 用 户 集 。 


表 9-4 ISA 预定 义 的 用 户 集 


用 户 集 含义 

所 有 经 过 认证 的 用 户 。” 表示 为 所 有 通过 验证 的 用 户 , 注意 Snat 客户 端 将 不 会 进行 认证 , 除非 它们 为 VPN 
客户 

所 有 用 户 表示 为 所 有 用 户 ， 不 论 是 否 通 过 身份 验证 

系统 和 网 络 服务 表示 ISA 计算 机 上 的 本 地 系统 和 网 络 服务 账户 ， 将 被 ISA Server 用 于 部 分 系统 
策略 


另外 ， 客 户 端 如 何 进行 认证 取决 于 客户 端的 类 型 。 利 用 防火 墙 客 户 进行 会 话 建立 时 ，ISA 
Server 要 求 客户 进行 身份 验证 ,因此 当 防 火 墙 客户 后 来 再 进行 访问 时 ，ISA 不 会 再 询问 客户 端 
的 身份 验证 信息 ， 因 为 会 话 已 经 被 验证 过 了 。 

若 为 Web 代理 客户 时 ， 在 允许 其 访问 后 ， 可 以 配置 Web 代理 客户 的 身份 验证 。 如 果 在 
Web 代理 侦 听 器 的 属性 中 选择 要 求 所 有 用 户 进行 验证 ， 则 ISA Server 将 总 是 在 检查 防火 墙 策 
略 之 前 要 求 用 户 提供 身份 验证 信息 ， 和 否则 ISA Server 只 会 在 访问 规则 要 求 时 才 要 求 客户 进行 
身份 验证 。 同 样 可 通过 配置 防火 墙 策略 来 进行 验证 ， 建 立 的 防火 墙 策略 如 表 9-5 所 示 。 


表 9-5 针对 用 户 集 创 建 的 防火 墙 策略 


序号 协议 从 计划 时 间 到 用 户 集 内 容 类 型 动作 
1 FTP、HTTP ”内 部 Always 外 部 Tom ALL 允许 
2 FTP、HTTP ”内 部 Always 外 部 所 有 经 过 认证 的 用 户 ”ALL 允许 


Last ALL ALL Always ALL ALL Users ALL Deny 
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对 于 Web 代理 客户 和 防火 墙 客户 的 访问 请 求 ， 结 果 为 ， 通 过 规则 1， 用 户 Tom 允许 使 用 
HTTP 和 FTP 访问 任何 站 点 。 通 过 规则 2， 其 他 经 过 认证 的 用 户 可 使 用 HTTP 和 FTP 访问 任 
何 站 点 ; 在 ISA Server 进行 策略 的 评估 时 ， 虽 然 其 他 用 户 也 提交 了 身份 验证 信息 ， 但 不 匹配 
规则 1 的 用 户 集 ， 所 以 ISA Server 将 跳 过 规则 1 检查 下 一 条 规则 ， 然 后 发 现 完全 匹配 规则 2， 
就 按照 规则 中 定义 的 动作 来 允许 客户 的 访问 。 

对 于 非 VPN 客户 的 Snat 用 户 ， 结 果 为 ， 在 规则 1 就 拒绝 了 匿名 用 户 的 HITP 和 FTP 访 
问 ; 当 ISA Server 对 规则 1 进行 评估 时 ， 将 发 现 客户 发 起 的 连接 请 求 匹配 规则 1 的 协议 、 从 
( 源 网 络 )、 计 划 时 间 、 到 (目标 网 络 ) 元 素 ， 所 以 会 要 求 客户 提交 身份 验证 信息 ， 但 Snat 客 
户 不 能 提交 身份 验证 信息 ， 此 时 ISA 则 会 立即 丢弃 客户 发 起 请 求 ， 也 不 会 再 进行 下 一 条 规则 
的 评估 。 


9.5 ”操作 实例 


9.5.1 和 揭 市 袍 例 一 一 JSA 扩 鸭 建 与 于 时 


ISA 2004 是 微软 公司 推出 的 一 款 网 络 安全 产品 ，ISA 具有 灵活 的 多 网 络 支持 、 易 于 使 用 
且 高 度 集成 的 VPN 配置 、 可 扩展 的 用 户 身份 验证 模型 、 深 层次 的 HTTP 过 滤 功 能 ， 被 公认 为 
X86 架构 下 最 优秀 的 企业 级 路 由 软件 防火 墙 。 


1. 实例 目的 ) 


口 创建 新 ISA 服务 器 企业 。 
口 安装 ISA 服务 器 服务 。 

口 安装 ISA 配置 存储 服务 器 。 
口 创建 Web 代理 客户 端 。 


@ 2. 实例 步骤 门 


(1) 在 【Microsoft ISA Server 2004 安装 程序 】 主 界面 中 ， 单 击 【 安 装 ISA Server 2004】 
按钮 ， 如 图 9-20 所 示 ， 然 后 在 弹出 的 【欢迎 使 用 Microsoft ISA Server 2004 安装 向 导 】 对 话 
框 中 ， 单 击 【 下 一 步 】 按 钮 。 

(2) 在 【许可 协议 】 对 话 框 中 ， 选 中 【我 接受 许可 协议 中 的 条 款 】 单 选 按钮 ， 并 单 击 【下 
一 步 】 按 钮 ， 如 图 9-21 所 示 。 

(3) 在 【客户 信息 】 对 话 框 中 ， 输 入 用 户 名 和 密码 ， 如 “mytext”， 并 单 击 【 下 一 步 】 按 
钮 ， 如 图 9-22 所 示 。 

(4) 在 【安装 方案 】 对 话 框 中 ， 选 中 【同时 安装 ISA 服务 器 服务 和 配置 存储 服务 器 】 单 
选 按 钮 ， 并 单 击 【 下 一 步 】 按 钮 ， 如 图 9-23 所 示 。 


防火 墙 基础 


人 rity & fierose 软件 最 终 用 户 许可 协 识 


Acceleration Server 
Enterprise Edition IICROSOFT INTERNET SECURITY AND ACCELERATION 
ER y 00 
NisArias Fidon 到 
am9 了 "ER 
个 我 不 接受 许可 协议 中 的 条 款 四 ) 单 击 
到 《上 一步 四 职 消 
图 9-20 ISA Server 2004 主 界面 图 9-21 【许可 协议 】 对 话 框 
请 网 入 你 的 灾 户 洋 细 傅 息 。 过 插 能 最 好 地 缮 过 此 安 于 方案 。 
用 户 名 名 个 安装 15A 服务 器 最 务 (5) 
(nyeent 1 算术 格 或 为 运行 TS 服务 器 服务 的 TSA 服务 器 阵列 成 员 - 
单位 0) Co 鱼 概 务 器 (C) 
|mytemt EE TS 财务 器 阵 别 所 使 用 的 配置 。TSA 服务 器 隆 区 t+ 算 机 洛 款 接 弹 | 
产品 序列 时 人 ) 
Para wwa| Fon | [Tans| Rarm TY ET EE td ET 


9) 
演算 机 梅 成 为 TSA 服务 器 阵列 成 员 ， 并 用 来 存储 企业 了 P 置 。 


Re 服务 中 企业 国 
取消 《上 一 步 @) 职 消 
图 9-22 【客户 信息 】 对 话 框 图 9-23 【安装 方案 】 对 话 框 


(5) 在 【组 件 选择 】 对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 9-24 所 示 。 
(6) 在 【企业 安装 选项 】 对 话 框 中 ， 选 中 【创建 新 ISA 服务 器 企业 】 单 选 按钮 ， 并 单 击 
【下 一 步 】 按 钮 ， 如 图 9-25 所 示 ， 然 后 在 【新 企业 警告 】 对 话 框 中 ， 单 击 【下 一 步 】 按 钮 。 


人 7 .rosoft ISA Server 2004 ~ 安 闭 闯 导 
组 件 选 择 
将 安装 所 渤 功 褒 。 你 要 创建 新 企业 ， 还 是 要 将 殉 有 企业 入 普 复 条 开 | 此 际 置 存储 服务 器 ? 
单 击 列表 中 的 图 标 可 以 查看 或 燃 改 安装 功能 的 方式 。 CE | 
EY EL ?70 
一 WEEY ET 创建 新 TS4 服务 器 企业 。 该 计算 机 格 成 为 阵列 可 以 
-全 th 
入 
1 | 和 
上 要 束 臣 虽 以 全 
安装 到 
Crogran Files\ierosft ISA Serrer\ 加 EA (re | 
WW | a | 《上 - 步 四 my | i 
图 9-24 【组 件 选 择 】 对 话 框 图 9-25 【企业 安装 选项 】 对 话 框 


(7) 在 【内 部 网 络 】 对 话 框 中 ， 单 击 【 添 加 】 按 钮 ， 如 图 9-26 所 示 。 
(8) 在 【地 址 】 对 话 框 中 ， 单 击 【 添 加 范围 】 按 钮 ， 如 图 9-27 所 示 。 
(9) 在 弹出 的 【JP 地 址 范围 属性 】 对 话 框 中 ， 分 别 输 入 起 始 地 址 “10.1.1.6” 和 结束 地 址 
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“10.1.1.254”， 并 单 击 【确定 】 按 钮 ， 如 图 9-28 所 示 。 


指定 想 要 包括 在 TSA 服务 器 内 部 网 络 中 的 地 址 范围 . 


阜 击 “ 索 加 ”以 指定 内 各 


内 部 网 络 地 址 范围 从 -到 ) 


(OE 。 


《上 一步 @) | 下 一 步 厅 束 潭 


图 9-26 【内 部 网 络 】 对 话 框 


EI 


(10) 在 返 
对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 。 


区 | 


| 


图 9-28 输入 IP 地址 范围 


图 9-27 【地 址 】 对 话 框 


的 【地 址 】 对 话 框 中 ， 单 击 【确定 】 按 钮 ， 如 图 9-29 所 示 ， 并 在 【内 部 网 络 】 


这 些 是 在 此 网 络 中 也 拭 的 Ir 址 址 花 转 。 
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mw | wn | 


图 9-29 【地 址 】 对 话 框 


(11) 在 【防火 墙 客户 端 连接 设置 】 对 话 框 中 ， 启 用 【人 允许 非 加 密 的 防火 墙 客 户 端 连接 】 


复 选 框 ， 并 单 击 【 下 一 步 】 按 钮 ， 如 图 9-30 所 示 。 
(12) 在 【服务 警告 】 对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 9-31 所 示 。 


则 icrosoft ISA Server 2004 > 安装 痛 导 | 
防火 培 害 户 入 连接 设置 
清和 证 TS Server 2004 防火 二 客户 训 的 这 从 设 车 ， 


他 Dcrosoft ISA Server 2004 安装 痛 导 


IA Ssrvac 2004 阶 防 火 增 客 户 江 人 用 协 识 来 加 守 在 防火 寺 客 户 访 和 Tsk Sorver 
之 则 的 酒 道 。 


i 晤 浊 
火 寺 客 户 芋 。 个 辽 ， 这 些 连 


er ?004 的 了 二 守 请 ， 且 它 昌 汐 有 全 


在 安 半 央 间 格林 用 的 服 学 


TInterne: Cannectior Firerall (CF) { Taternet Comection sharing (CS) 
Tt in 


《上 - 步 四 于 省 


《上 - 步 g) [FF 台 少 


图 9-30 【防火 墙 客户 端 连 接 设置 】 对 话 框 


图 9-31 【服务 警告 】 对 话 框 


Et 
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(13) 在 【可 以 安装 程序 了 】 对 话 框 中 ， 单 击 【 安 装 】 按 钮 ， 如 图 9-32 所 示 。 
(14) 在 【安装 向 导 完 成 】 对 话 框 中 ， 单 击 【 完 成 】 按 钮 ， 如 图 9-33 所 示 。 


间 icrosoft ISA Server 2004 安装 向导 EE: 
可 以 安 半 程序 了 
隔 导 已 且 寺 ,可以 开 WR3 疙 T。 
要 开 既 装 ， 请 单 十 “ 安 装 ”。 Moon 
上 一步 ”要 出 向 时， 请 二 “ 取 Kee eo ea C7) 
厂 在 凋 导 关 闭 耻 运 行 TSA 服务 器 首 理 
[a] 单 击 “完成 ”进出 此 向 导 。 四 
《上 - 步 四 [FO] R 前 了 四 
图 9-32 【可 以 安装 程序 了 】 对 话 框 图 9-33 【安装 向 导 完成 】 对 话 框 


(15) 内 网 客户 计算 机 IP 地 址 为 “10.1.1.6”，ISA 内 部 接口 地 址 为 “10.1.1.254”，ISA 外 


部 接口 地 址 为 “192.168.0.2”， 实 验 环境 ， 如 图 9-34 所 示 。 
(16) 执行 【开始 】| 【程序 】|Microsoft ISA Server|【ISA 服务 管理 器 】 命 令 ， 在 打开 的 窗 


口中 ， 展 开 【 阵 列 】 节 点 ， 并 双击 MYTEXT 选项 ， 如 图 9-35 所 示 。 
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x * 
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图 9-34 实验 拓扑 图 图 9-35 展开 【阵列 】 节 点 


(17) 右 击 【 防 火 墙 策略 】 选 项 ， 执 行 【新 建 】| 【访问 规 则 】 命 令 ， 如 图 9-36 所 示 。 

(18) 在 弹出 的 【欢迎 使 用 新 建 访问 规则 向 导 】 对 话 框 中 ， 输 入 访问 规则 名 称 ， 如 “允许 
内 网 用 户 任 意 访问 ”， 并 单 击 【 下 一 步 】 按 钮 ， 如 图 9-37 所 示 。 

(19) 在 【规则 操作 】 对 话 框 中 ， 选 中 【允许 】 单 选 按钮 ， 并 单 击 【 下 一 步 】 按 钮 ， 如 图 
9-38 所 示 。 

(20) 在 【协议 】 对 话 框 中 ， 单 击 【 此 规则 应 用 到 】 下 拉 按 钮 ， 并 选择 【所 有 出 站 通讯 】 
选项 ， 然 后 单 击 【下 一 步 】 按 钮 ， 如 图 9-39 所 示 。 

(21) 在 【访问 规则 源 】 对 话 框 中 ， 单 击 【添加 】 按 钮 ， 如 图 9-40 所 示 。 

(22) 在 弹出 的 【添加 网 络 实体 】 对 话 框 中 ， 双 击 【 网 络 】 选 项 ， 选 择 【 内 部 】 选 项 ， 然 
后 依次 单 击 【添加 】 和 【关闭 】 按 钮 ， 如 图 9-41 所 示 。 
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EEEIEETTHE | 
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Es 取消 


图 9-36 新 建 访问 规则 图 9-37 【欢迎 使 用 新 建 访问 规则 向 导 】 对 话 框 
新 宇 沪 问 规则 向导 | EETITTEHEEEEE x 
规则 啤 作 | 协议 到 
有 于 处 理 户 内定 的 请 交 近 比 规 风 要 应 用 到 的 多 议 。 
在 符合 规则 条 件 时 要 执行 邱 折 作 : HN) TD) 
人 
1 寺中] Ee 
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Ey 
Ts 
铺 口 思 ) 
《< 上- 步 因 [ 下 - 步 om )] _ Mn | 《上 - 步 加 : 了 
图 9-38 【规则 操作 】 对 话 框 图 9-39 【协议 】 对 话 框 
EI x 
新 寻访 问 规则 向 叶 | Eg 
访问 规则 尖 [= TT 
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司 YPN 洛 户 请 
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向 地 直 克 图 
子 同 
Bit 
《上 - 步 四 | 下 - 步 咱 ?| 了 六 关闭 
图 9-40 【访问 规则 源 】 对 话 框 图 9-41 【添加 网 络 实体 】 对 话 框 


(23) 在 【访问 规则 源 】 对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 9-42 所 示 。 

(24) 在 【访问 规则 目标 】 对 话 框 中 ， 单 击 【 添 加 】 按 钮 ， 如 图 9-43 所 示 。 

(25) 在 弹出 的 【添加 网 络 实体 】 对 话 框 中 ， 双 击 【 网 络 】 选 项 ， 选 择 【 外 部 】 选 项 ， 并 
依次 单 击 【添加 】 和 【关闭 】 按 钮 ， 如 图 9-44 所 示 。 
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《上 - 步 四 [下 - 步 四 了 


图 9-42 【访问 规则 源 】 对 话 框 图 9-43 【访问 规则 目标 】 对 话 框 
(26) 在 【访问 规则 目标 】 对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 9-45 所 示 。 
HEI | 
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CJ _ <L-$W IF- ;| Mh 
图 9-44 【添加 网 络 实体 】 对 话 框 图 9-45 【访问 规则 目标 】 对 话 框 


(27) 在 【用 户 集 】 对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 9-46 所 示 。 


(28) 在 【正在 完成 新 建 访问 规则 向 导 】 对 话 框 中 , 单 击 【 完 成 】 按钮， 如 图 9-47 所 示 。 


新 于 访问 规则 向导 | 
用 户 集 [i | 正在 完 ， | 
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a Ez 和 iP - 
EY 
med) A 让 到 表 


图 9-46 【用 户 集 】 对 话 框 图 9-47 新 建 访问 规则 向 导 完成 


(29) 在 返回 的 ISA Server 2004 Enterprise Edition 窗口 中 ， 单 击 【 应 用 】 按 钮 ， 如 图 9-48 


所 示 。 


第 四 篇 ”防火 墙 安全 体系 


(30) 在 弹出 的 【正在 保存 配置 更 改 】 窗 口中 ， 单 击 【 确 定 】 按 钮 ， 如 图 9-49 所 示 。 
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图 9-48 ”应 用 访问 策略 图 9-49 保存 配置 


(31) 在 内 网 客户 端 计算 机 上 ， 双 击 Internet Explorer 图 标 ， 单 击 菜单 栏 【 工 具 】 菜 单 ， 执 
行 【Internet 选项 】 命 令 ， 如 图 9-50 所 示 。 


(32) 在 【Internet 选项 】 对 话 框 中 ， 选 择 【 连 接 】 选 项 卡 ， 如 图 9-51 所 示 。 
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图 9-50 执行 【Intemet 选项 】 命 令 图 9-51 【Internet 选项 】 对 话 框 


(33) 在 【连接 】 选 项 卡 中 ， 单 击 【局 域 网 设置 】 按 钮 ， 如 图 9-52 所 示 。 

(34) 在 弹出 的 【局 域 网 CLAN) 设置 】 对 话 框 中 ， 启 用 【为 LAN 使 用 代理 服务 器 】 复 
选 框 ， 然 后 在 【地 址 】 和 【端口 】 文 本 框 中 ， 分 别 输入 “10.1.1.254” 和 “8080”， 并 单 击 【 确 
定 】 按 钮 ， 如 图 9-53 所 示 。 


[a ISA 服务 器 的 内 网 接口 地 址 为 10.1.1.254, 使 用 8080 端口 提供 Web Am 条 .| 


(35) 在 内 网 计算 机 桌面 上 ， 执 行 【 开 始 】|【 和 运行】 命令 ， 然 后 在 【打开 】 文 本 框 中 ， 输 
入 www.baidu.com 命令 ， 并 单 击 【确定 】 按 钮 ， 如 图 9-54 所 示 。 
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9-52 【连接 】 选 项 卡 
(36) 查看 运行 结果 ， 如 图 9-55 所 示 。 
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图 9-54 【运行 】 对 话 框 9-55 查看 运行 结果 


9.5. 


风云 防火 墙 为 用 户 提供 网 络 拦截 、 特 征 码 防御 、 主 动 防御 、ARP 防御 、 密 码 框 保护 五 个 
功能 ， 能 够 制定 严密 的 访问 规则 ， 实 时 监控 应 用 程序 和 系统 进程 ， 以 及 网 络 资源 的 访问 。 


口 制定 卫 端口 过 滤 规 则 。 
口 禁止 访问 共享 资源 。 


2 


(1) 在 桌面 执行 【开始 】| 【程序 】| 【风云 防火 墙 】| 【风云 防火 墙 个 人 版 2009】 命令 ， 如 
图 9-56 所 示 。 
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(2) 在 【风云 防火 墙 个 人 版 2009 未 注册 】 窗 口中 ， 选 择 【IP 端口 过 滤 规 则 】 选 项 卡 ， 如 
图 9-57 所 示 。 
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图 9-56 执行 应 用 程序 图 9-57 风云 防火 墙 主 界面 


(3) 在 【IP 端口 过 滤 规 则 】 选 项 卡 中 ， 单 击 【 增 加 】 按 钮 ， 如 图 9-58 所 示 。 

(4) 在 弹出 的 【增加 规则 】 对 话 框 中 的 【名 称 】 文 本 框 中 ， 输 入 名 称 ， 如 “禁止 访问 我 
的 共享 1”， 并 在 【本 地 端口 (0-65535)】 区 域 文本 框 中 ， 分 别 输入 “139” 然后 单 击 【 确 定 】 
按钮 ， 如 图 9-59 所 示 。 


园 风 寺 了 W 火 地 个 人 2008 未 注册 me en 
E -项 则 
鹿 念 需 热 2 mt 9 
2 起 网 仙 系统 检测 不 时 设置 。 ”在线 和 有 说 明 : BB 
算术 者 | 网 只 接 | 访问 抽风 | Tr 铺 口 这 起 规 骨 | Ane 防 兴 培 回 
局 用 。。 规 TD 均 议 。 数据 方向 指 夫 
数据 包 方向 : [ 扶 收 到 协 议 关 型 : [IC 习 
HE 
htt: [区 亲 于 十 一 | 从 :[ 0 0 0 
OORORD 
本 性 请 口 0-65535) 对 方 端 口 TCF 标志 位 
已 程序 开 MD || 从:[5 一 my Dr 
人 加 到 区 |: 
| 当 满 足 上 面条 件 时 : 
| 日 志 记录 。 门 语音 提示 
[ 雹 A | 上 敬一 | | 下 区 | | 增加 | | 一 际 “| 护 生 | 
一 me i Ee 
图 9-58 【JIP 端口 过 滤 规 则 】 选 项 卡 图 9-59 【增加 规则 】 对 话 框 


(5) 在 【了 端口 过 滤 规 则 】 选 项 卡 中 单 击 【增加 】 按 钮 ， 如 图 9-60 所 示 。 

(6) 在 弹出 的 【增加 规则 】 对 话 框 中 的 【名 称 】 文 本 框 中 ， 输 入 名 称 ， 如 “禁止 访问 我 
的 共享 2”， 并 在 【本 地 端口 (0-65535)】 区 域 文本 框 中 ， 分 别 输入 “445” 然后 单 击 【 确 定 】 
按钮 ， 如 图 9-61 所 示 。 

(7) 在 客户 端 执行 【开始 】| 【运行 】 命 令 ， 输 入 \192.168.0.2\zw 命令 ， 并 单 击 【确定 】 
按钮 ， 如 图 9-62 所 示 。 
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图 9-60 【IP 端口 过 滤 规则 】 选 项 卡 
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图 9-61 【增加 规则 】 对 话 框 


服务 器 共享 资源 路 径 为 \192.168.0.2\zw。 


(8) 查看 访问 结果 ， 如 图 9-63 所 示 。 
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图 9-62 【运行 】 对 话 框 
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明 你 是否 有 访问 权限 " 


图 9-63 【Windows 资源 管理 器 】 对 话 框 


”Windows XP 系统 提供 共享 服务 的 端口 为 139 端口 , Windows 2003 系统 提供 共 
不 享 服务 的 端口 为 445 端口 。 
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随 着 Internet 的 进一步 普及 和 迅 狐 发展 ， 针 对 内 网 计算 机 的 入 侵 事 件 日 益 增 多 ， 应 用 防火 


墙 技术 势 在 必 行 。 但 防火 墙 产 品种 类 繁多 ， 功 能 上 也 存在 很 大 差异 ， 这 给 防火 墙 系统 的 实现 
和 维护 带 来 了 许多 难题 。 通 常 一 个 完整 的 防火 墙 系统 既 要 防止 外 部 入 侵 ， 又 要 防止 内 部 人 员 
的 非法 访问 。 而 对 于 Cisco PIX 防火 墙 来 说 ， 利 用 动态 和 静态 地 址 翻译 、 管 道 等 技术 ， 可 以 很 
方便 地 实现 这 一 完整 的 防火 墙 系统 。 


本 章 学 习 要 点 : 

> PIX 防火 墙 概述 

> PIX 防火 墙 的 基本 使 用 
> PIX 防火 墙 的 高 级 配置 


10.1 PIX 防火 墙 的 概述 


目前 ,防火墙 包括 集成 防火 墙 功 能 的 路 由 器 、 集 成 防火 墙 功 能 的 代理 服务 器 、 专 用 软件 


防火 墙 和 专用 的 软 硬 件 结合 的 防火 墙 4 种 类 型 , 而 在 Cisco 的 防火 墙 解决 方案 中 包含 了 4 种 类 
型 的 第 1 种 和 第 4 种 ， 即 集成 防火 墙 功 能 的 路 由 器 和 专用 的 软 硬 件 结合 的 防火 墙 。 


Cisco PIX (Private Internet Exchange) 防火 墙 ， 属 于 4 类 防火 墙 中 的 第 4 种 ， 它 的 设计 是 


为 了 满足 高 级 别 的 安全 需求 ， 以 较 好 的 性 能 价格 比 提供 严密 的 、 较 有 力 的 安全 防范 。 


10.1.1 PIX 防火 墙 的 功能 特点 


一 般 来 说 ， 防 火 墙 系统 就 是 在 两 个 网 络 之 间 实 施 的 一 些 存 取 控制 方法 的 集合 。 通 常 有 两 


种 类 型 的 防火 墙 ， 基 于 网 络 层 的 包 过 滤 防 火 墙 和 基于 应 用 层 的 隔离 网 络 的 代理 服务 器 (Proxy 


Server)。 


基于 网 络 层 的 包 过 滤 防 火 墙 ， 主 要 是 在 网 络 层 根 据 人 P 数据 包 的 源 和 目标 地 址 ， 及 源 和 目 


标 端口 来 决定 是 转发 还 是 丢弃 人 P 数据 包 ; 而 基于 应 用 层 的 隔离 网 络 的 代理 服务 器 ， 则 是 在 应 


问 


层 为 每 一 种 服务 提供 一 个 代理 。 
Cisco PIX 防火 墙 是 基于 这 两 种 技术 结合 的 防火 墙 ， 它 应 用 安全 算法 (Adaptive Security 


Algorithm，ASA)， 将 内 部 计算 机 的 地 址 映射 为 外 部 地 址 ， 拒 绝 未 经 允许 的 数据 包 进入 ， 实 现 
了 动态 、 静 态 地 址 映射 ， 从 而 有 效 地 屏蔽 了 内 部 网 络 拓扑 结构 。 通 过 管道 技术 〈conduit)， 访 


列表 (ACL) 等 可 以 有 效 地 控制 内 、 外 部 各 资源 的 访问 。 


另外 , PIX 防火 墙 可 连接 4 个 不 同 的 网 络 ,每 个 网 络 都 可 定义 一 个 安全 级 别 ， 级 别 低 的 相 
对 于 级 别 高 的 总 是 被 视 为 外 部 网 络 ， 从 而 安全 地 保证 了 内 部 网 络 。 


10.1.2 PIX 防火 墙 的 算法 与 策略 


PIX 防火 墙 中 的 安全 算法 , 是 一 种 基于 状态 的 安全 防护 方式 。 每 个 进来 的 数据 包 (从 位 于 
较 低 安全 级 别 网 络 的 计算 机 到 位 于 较 高 安全 级 别 网 络 的 计算 机 ) 都 要 根据 它 和 PIX 防火 墙 内 
存 中 的 连接 状态 信息 进行 检查 。 ASA 信息 是 实施 Internet 访问 安全 的 基础 , 因为 它 可 执行 如 下 
任务 。 

口 经 过 PIX 防火 墙 执 行 状态 连接 控制 。 

口 针对 每 个 内 部 系统 应 用 ， 在 没有 明确 配置 的 情况 下 ， 允 许 单 向 ( 出 站 ) 连接 。 出 站 的 

连接 从 位 于 较 高 安全 级 别 接口 的 计算 机 访问 位 于 较 低级 别 网 络 的 计算 机 。 

口 监控 返回 的 数据 包 ， 确 认 它们 的 有 效 性 。 

口 对 TCP 顺序 号 进行 随机 处 理 ， 减 少 被 攻击 的 可 能 性 。 

ASA 在 PIX 防火 墙 控制 的 网 络 之 间 构 成 安全 边界 。 ASA 在 设计 上 是 基于 状态 的 面向 连接 
的 ， 能 够 创建 基于 源 和 目标 地 址 的 会 话 流 ， 在 完成 连接 之 前 ， 能 够 对 TCP 顺序 号 、 端 口号 和 
TCP 标记 进行 随机 处 理 。 这 个 功能 始终 都 在 运行 ， 监 视 每 个 返回 的 数据 包 ， 确 认 它 们 的 正 
确 性 。 

在 ASA 中 ， 安 全 级 别 用 来 表明 一 个 接口 相对 于 另 一 个 接口 是 可 信 “【 较 高 的 安全 级 别 ) 还 
是 不 可 信和 较 低 安全 级 别 ) 的 。 

如 果 一 个 接口 的 安全 级 别 高 于 另 一 个 接口 的 安全 级 别 ， 这 个 接口 就 被 认为 是 可 信 的 ; 如 
果 一 个 接口 安全 级 别 低 于 另 一 个 接口 的 安全 级 别 ， 这 个 接口 就 被 认为 是 不 可 信 的 ， 如 图 10-1 
所 示 。 


Internet 


外 部 网 络 (不 可 信 ) 


e0 
Security level 0 
Internet name= outside 


PIX 防火 墙 


内 部 网 络 (可 信 ) 边界 网 络 
el 
Security level 0 Security level 50 
Internet name= inside Internet name= pix/intf2 


图 10-1 PIX 防火 墙 接口 安全 级 别 


安全 级 别 的 基本 策略 是 具有 较 高 安全 级 别 的 接口 可 以 访问 具有 较 低 安全 级 别 的 接口 。 反 
过 来 ， 在 没有 设置 管道 (conduit) 和 访问 控制 列表 (ACL) 的 情况 下 ， 具 有 较 低 安全 级 别 的 
接口 不 能 访问 具有 较 高 安全 级 别 的 接口 ， 安 全 级 别 的 范围 从 0 一 100。 下 面 是 有 关 这 些 安全 级 
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别 的 更 具体 规则 。 

口 安全 级 别 100 

这 是 PIX 防火 墙 内 部 接口 的 最 高 安全 级 别 ， 也 是 PIX 防火 墙 的 默认 设置 ， 且 不 能 改变 。 
安全 级 别 100 是 最 值得 信任 的 接口 安全 级 别 ， 所 以 应 该 将 公司 网 络 建立 在 这 个 接口 的 后 面 。 
这 样 ， 除 非 经 过 特定 的 允许 ， 否 则 其 他 的 接口 都 不 能 访问 这 个 接口 ， 但 这 个 接口 后 面 的 每 台 
设备 都 可 以 访问 公司 网 络 外 面 的 接口 。 

口 安全 级 别 0 

这 是 用 在 PIX 防火 墙 外 部 接口 的 最 低 安全 级 别 , 防火 墙 的 默认 设置 ， 且 不 能 更 改 。 因 为 0 
是 不 值得 信赖 的 最 低级 别 ， 所 以 应 该 把 最 不 值得 信任 的 网 络 连接 到 这 个 接口 的 后 面 。 这 样 ， 
除非 经 过 特定 的 许可 ， 否 则 它 不 能 访问 其 他 接口 。 这 个 接口 通常 用 于 连接 Internet。 

口 安全 级 别 1 一 99 

这 些 是 分 配 与 PIX 防火 墙 相连 的 边界 接口 的 安全 级 别 。 可 以 根据 每 台 设备 的 访问 情况 来 
给 它们 分 配 相应 的 安全 级 别 。 


10.1.3 网管 心得 一 一 PIX 防 炎 东兴 询 产 品 人 多 


从 1996 年 以 来 ， 为 了 更 好 地 满足 小 型 和 大 型 客户 网 络 安全 的 需求 ，Cisco 将 PIX 防火 墙 
系列 产品 扩展 到 PIX501、PIX506E、PIX515E、PIX525 和 PIX535 5 种 不 同 的 型 号 ， 能 够 满足 
广泛 的 用 户 需求 和 不 同 大 小 的 网 络 规模 。 目 前 ， 这 些 PIX500 系列 防火 墙 产 品 适用 的 市 场 如 图 
10-2 所 示 。 


CISC0 PIX 防 火 墙 系列 产品 


格 me 4 PIX-525 


图 10-2 PIX500 系列 防火 墙 产 品 


口 PIXS01 防火 墙 

PIX501 防火 墙 是 5 种 型 号 中 最 小 的 一 种 , 是 为 远 距离 办 公 者 或 小 型 办 公 室 /家 庭 办 公 而 设 
计 的 。 它 集成 了 一 个 4 端口 的 交换 机 ， 并 对 外 提供 一 个 10/100Mbps 的 快速 以 太 网 接口 ， 如 图 
10-3 所 示 。 

口 PIX506E 防火 墙 

PIX506E 防火 墙 是 为 小 型 办 公 室 和 远程 办 公设 计 的 ， 它 集成 了 两 个 10/100Mbps 以 太 网 接 
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口 ， 如 图 10-4 所 示 。 


图 10-3 PIX501 防火 墙 图 10-4 PIX506E 防火 墙 


口 PIXS15E 防火 墙 

PIX515E 防火 墙 是 为 小 型 到 中 型 商业 设计 的 ， 它 支持 6 个 10/100Mbps 以 太 网 接口 ， 如 图 
10-5 所 示 。 

口 PIXS25 防火 墙 

它 是 为 大 型 商业 和 企业 用 户 设计 的 , 它 支持 8 个 10/100Mbps 快速 以 太 网 和 吉 比 特 以 太 网 
接口 ， 如 图 10-6 所 示 。 


图 10-5 ”PIX515E 防火 墙 图 10-6 PIX525 防火 墙 


口 PIXS35 防火 墙 

在 500 系列 中 最 强大 的 产品 ，PIX 防火 墙 535 是 为 企业 级 和 
服务 提供 商用 户 设计 的 ， 它 支持 多 达 10 个 10/100Mbps 快速 以 太 
网 和 吉 比 特 以 太 网 接口 ， 如 图 10-7 所 示 。 

在 这 些 PIX500 防火 墙 系列 产品 中 , 每 一 款 都 具有 强大 的 保护 。 图 10-7 PIX535 防火 墙 
功能 。 如 PIX515E 防火 墙 是 针对 于 小 型 和 中 型 企业 设计 的 ， 它 具有 完整 的 防火 墙 保护 能 力 ， 
并 且 通 过 IPSec 相应 的 加 密 标准 (56bit DES、168 bit DES) 搭建 VPN 的 能 力 。 在 两 个 PIX 防 
火 墙 之 间 可 以 搭建 VPN 隧道 ，PIX 防火 墙 同样 可 以 与 以 下 设备 之 间 搭 建 VPN 隧道 。 

口 任何 支持 VPN 的 Cisco 路 由 器 。 

口 Cisco 3000 VPN 集中 器 。 

口 支持 IPSec 标准 的 设备 。 

PIX515E 防火 墙 同样 适用 于 只 与 总 部 网 络 之 间 建 立 双向 通信 的 远程 计算 机 。 另 外 ， 它 还 
支持 基于 精简 的 IPSec 加 速 ， 能 够 提供 140Mbps 的 吞吐 量 ， 同 时 把 系统 资源 让 给 其 他 更 加 重 
要 的 安全 功能 。 

PIX515E 防火 墙 设计 为 机 架 式 , 拥有 433MHz 的 处 理 器 , 32MB 或 64MB 的 CDROM (只 
读 存储 器 ) 和 16MB 的 内 存 。 


通过 使 用 可 选 的 PIX 防火 墙 VAC 或 者 高 性 能 的 VAC+ 来 提供 IPSec 加 速 ， 当 
没有 安装 VAC 和 VAC+ 时 ,PIX 防火 墙 515E 运行 在 基于 加 密 环境 下 , 则 导致 
吞吐 量 下 降 。 


10.2 PIX 防火 墙 的 基本 使 用 


PIX 防火 墙 的 基本 使 用 是 实现 其 功能 的 基础 ， 因 此 可 通过 防火 墙 自身 具有 命令 行 (CLI) 
方式 ， 进 行 如 系统 显示 名 称 、 端 口 PP 地 址 及 定义 路 由 等 简单 配置 。 


10.2.1 PIX 防火 墙 的 基本 命令 


PIX 防火 墙 支 持 基 于 Cisco IOS (Internetwork Operating System， 互 联网 络 操 作 系 统 ) 的 命 
令 集 ， 并 提供 了 多 种 管理 访问 模式 。 


每 台 Cisco PIX 防火 墙 设备 均 支 持 不 同 的 访问 模式 , 对 于 与 CLI (Command Line Interface， 
命令 行 界 面 ) 的 交换 ， 大 体 可 以 分 为 4 种 常见 的 模式 。 
口 非特 权 模式 PIX 防火 墙 开 机 自 检 后 ， 处 于 这 种 模式 。 系 统 显示 为 “pixfirewall>”。 
口 特权 模式 ”在 非特 权 模式 下 ， 输 入 enable 进入 该 模式 ， 可 更 改 当 前 配置 。 系 统 显示 为 
“pixfirewall#” 。 
口 全 局 配置 模式 ”在 特权 模式 下 ， 输 入 configure terminal 进入 此 模式 ， 绝 大 部 分 的 系统 
配置 都 在 这 里 进行 。 系 统 显 示 为 “pixfirewall(config)#”。 
口 监控 模式 ”PIX 防火 墙 在 开机 或 重启 过 程 中 ， 按 Escape 键 ， 进 入 监控 模式 。 在 此 ， 可 
以 更 新 系统 映像 和 口令 恢复 。 系 统 显示 为 “monitor>”。 
在 每 种 访问 模式 下 ,可 把 大 多 数 命令 缩写 成 最 少 且 唯 一 的 字符 串 。 例 如 ， 可 以 输入 writet 
来 查看 配置 信息 ， 而 不 用 输入 完整 的 命令 write terminal。 输 入 en 代替 enable， 进 入 特权 模式 ; 
输入 configt 代替 configure terminal， 进 入 全 局 配置 模式 。 
在 PIX 防火 墙 命 令 行 (CLI) 中 ， 可 以 获得 帮助 信息 ， 输 入 help 或 ? 能 够 列 出 所 有 命令 ， 
如 果 一 个 命令 后 面 输入 ? 〈 如 route ?)， 会 列 出 这 个 命令 的 语法 。 如 果 在 一 个 命令 的 前 面 输入 
help《〈 如 help nameif)， 会 列 出 这 个 命令 的 说 明和 语法 。 访 问 模式 不 同 ， 使 用 问号 或 help 命令 
时 ， 列 出 的 命令 数量 不 同 。 在 非特 权 模式 下 ， 列 出 的 命令 最 少 ， 在 全 局 配置 模式 下 ， 列 出 的 
命令 最 多 。 另 外 ， 在 命令 行 中 可 以 只 输入 命令 本 身 ， 然 后 按 回 车 键 ， 也 可 以 查看 这 个 命令 的 
语法 。 
和 Cisco IOS 路 由 器 相 比 ，PIX 防火 墙 CLI 环境 的 一 个 突出 优点 是 , 在 全 局 配置 模式 下 可 
执行 所 有 的 命令 ， 而 不 必 从 全 局 配置 模式 退出 来 ， 即 可 直接 使 用 所 有 show 和 debug 命令 ， 列 
出 正在 运行 的 和 当前 保存 的 配置 。 


在 学 习 PIX 防火 墙 时 ， 应 该 了 解 一 些 基本 的 命令 ， 如 查看 、 保 存 、 清 除 配置 及 命名 和 重 
启 防火 墙 等 。 

口 enable 命令 

输入 enable 命令 后 ，PIX 防火 墙 将 提示 输入 特权 模式 密码 ， 默 认 没 有 密码 ， 所 以 在 提示 
输入 密码 时 ， 可 直接 按 回 车 键 ， 当 然 也 可 以 创建 一 个 密码 。 可 在 全 局 配置 模式 下 ， 使 用 enable 
password 命名 设置 该 密码 。 密 码 对 大 小 写 敏 感 ， 长度 3 到 16 个 数字 或 字母 , 除了 问号 、 空 格 、 
冒号 外 ， 可 以 使 用 任何 字符 。 

命令 的 语法 如 下 所 示 。 


> priv_level 表明 特权 模式 级 别 ， 从 0~15。 
> password 设置 的 特权 模式 密码 。 
> encrypted 指明 设置 的 密码 将 被 加 密 。 
口 查看 、 保 存 、 清 除 配置 命令 
命令 show running-config (在 特权 模式 下 ) 把 PIX 防火 墙 PDM 中 当前 的 配置 显示 在 终端 
上 ， 也 可 以 使 用 命令 write terminal 来 显示 当前 配置 。 
命令 write memory 〈 在 特权 模式 下 ) 把 当前 正在 运行 的 配置 保存 到 闪存 中 ， 当 配置 写 到 
闪存 中 后 ， 可 以 通过 命令 show startup-config 或 show running-config 来 查看 。 
命令 write erase〔 在 特权 模式 下 〉 可 以 清除 闪存 中 的 配置 ， 如 果 输 入 这 个 命令 ,提示 确认 
是 否 想 删除 配置 ， 此 时 按 回 车 键 即 可 清除 。 


口 命名 PIX 防火 墙 

命令 hostname (在 特权 模式 下 )， 可 更 改 PIX 防火 墙 系统 显示 名 称 ， 如 果 将 其 名 称 改 为 
firewall 时 ， 则 系统 名 称 显示 为 firewall# (特权 模式 )。 

口 重启 PIX 防火 墙 命令 

命令 reload 可 以 让 PIX 防火 墙 重新 启动 ， 并 从 闪存 中 重新 加 载 配置 信息 。 在 执行 重新 启 
动 之 前 ， 系 统 会 显示 信息 “process with reload? ”提示 确 认 。 如 果 回答 Y 之 外 的 任何 其 他 信息 ， 
都 会 取消 重新 加 载 (reload) 命令 。 

重新 加 载 后 ， 之 前 修改 的 配置 ， 若 没有 保存 到 闪存 中 ， 都 会 丢失 。 在 进行 重新 启动 之 前 ， 
应 使 用 命令 write memory 把 当前 的 配置 保存 到 闪存 中 。 


10.2.2 ”基本 的 PIX 防火 墙 配置 
在 PIX 防火 墙 上 ， 可 以 使 用 CLI (命令 行 界面 ) 对 其 进行 基本 的 配置 。 下 面 是 对 PIX 防 


火 墙 进 行 配置 时 使 用 的 一 些 基 本 配置 命令 。 
口 nameif 给 每 个 边界 接口 分 配 一 个 名 字 ， 并 指定 安全 级 别 。 


interface 配置 每 个 边界 接口 的 类 型 和 能 力 。 


口 

口 ip address 给 每 个 接口 分 配 卫 地 址 。 

口 nat 对 外 部 网 络 隐藏 内 网 的 瑟 地 址 。 

口 global 使 用 一 个 瑟 地 址 池 对 外 部 网 络 隐藏 内 网 的 卫 地 址 。 
口 route 为 一 个 接口 定义 一 个 静态 或 默认 路 由 。 


通过 该 命令 ， 可 以 为 PIX 防火 墙 的 每 个 边界 物理 或 逻辑 端口 分 配 一 个 名 字 ， 并 指定 它们 
的 安全 级 别 ( 除 PIX 防火 墙 的 内 部 和 外 部 接口 ， 它 们 的 名 字 是 默认 的 )。 该 命令 的 语法 格式 如 
下 所 示 。 


口 hardware_id 指定 边界 接口 和 它 在 PIX 中 的 插 档 位 置 。 每 个 接口 名 称 由 两 部 分 组 成 ， 
一 部 分 是 基于 接口 类 型 的 字母 ， 另 一 部 分 是 给 它 分 配 的 序号 。 例 如 ， 以 太 网 接口 可 以 
用 el、e2、e3 等 来 表示 。 

口 过 name 对 边界 接口 进行 描述 ， 所 指定 的 名 字 在 后 面 配置 边界 接口 时 可 以 引用 。 

口 security_level 指明 边界 接口 的 安全 级 别 ， 有 效 范围 在 1~99 之 间 。 

例如 ， 配 置 防 火 墙 接口 的 名 称 ， 并 指定 安全 级 别 。 


在 默认 配置 中 ， 以 太 网 0 被 命名 为 外 部 接口 (outside )， 安 全 级 别 为 0; 以 太 
网 1 被 命名 为 内 部 接口 (inside )， 安 全 级 别 为 100。 安全 级 别 取 值 范围 0~100， 
数字 越 大 安全 级 别 越 高 。 若 添加 新 的 接口 ， 命 令 语法 可 以 这 样 写 : 
Pixfirewall(config)#nameif intf3 security 40 ( 安全 级 别 取 任 意 值 )。 


命令 interface 用 来 指明 硬件 、 设 置 设备 硬件 的 速度 、 启 动 接口 ， 其 命令 语法 格式 如 下 
所 示 。 


口 hardware id 指定 边界 接口 和 它 在 PIX 中 的 插 模 位 置 。 
口 hardware_speed 设置 接口 的 连接 速率 。 
口 shutdown 禁用 接口 ， 当 首次 安装 PIX 防火 墙 时 ， 所 有 接口 默认 均 是 关闭 的 。 需 要 通 


过 interface 命令 ， 不 加 shutdown 参数 来 启动 这 些 接口 。 
例如 ， 配 置 PIX 防火 墙 以 太 网 接口 参数 。 


auto 参数 表明 系统 自 适应 网 卡 类 型 ; 100 full 参数 表示 使 用 100Mbps 以 太 网 全 
双 工 通信 ; shutdown 参数 表示 关闭 这 个 接口 ， 若 启用 接口 则 去 掉 shutdown。 


在 一 个 接口 使 用 nameif 和 interface 进行 配置 后 , 还 需要 使 用 命令 ip address 给 这 个 接口 分 
配 一 个 IP 地 址 ， 用 于 设备 连接 使 用 。 其 命令 语法 格式 如 下 所 示 。 


口 ff name 之 前 定义 的 端口 描述 ( 如 outside 或 inside )。 
口 ip_address 代表 设置 的 端口 PP 地址。 

口 netmask 用 于 标识 该 卫 地址 的 子 网 掩 码 。 

例如 ， 在 PIX 防火 墙 上 配置 内 外 网 口 的 他 地 址 。 


该 配置 语句 表明 ，PIX 防火 墙 上 用 于 连接 外 网 的 接口 IP 地 址 为 192.168.0.2， 连 接 内 网 的 
接口 PP 地 址 为 10.0.0.1。 


CE 


nat (网 络 地 址 转换 ), 可 以 将 PIX 防火 墙 后 面 的 内 部 网 络 对 外 隐藏 起 来 ， 它 通过 在 转发 数 
据 包 到 外 部 网 络 之 前 , 将 内 部 私有 他 地址 转换 成 外 网 中 公有 下 地 址 来 完成 任务 。 在 PIX 防火 
墙 中 使 用 nat 和 global 命令 来 实现 nat 技术 。 其 命令 语法 格式 如 下 所 示 。 


口 让 name 接口 名 称 ， 对 该 接口 连接 的 网 络 进行 地 址 转换 。 

口 nat id 指定 用 于 动态 地 址 转换 的 全 局 地 址 池 。 

口 address 要 进行 地 址 转换 的 全 地 址 。 

口 hh:mm:ss 进行 地 址 转换 时 的 超时 时 间 (该 参数 可 选 )， 默 认为 3 小 时 。 

例如 ， 在 PIX 防火 墙 上 启用 nat， 让 内 网 的 所 有 计算 机 均 可 以 访问 外 网 、 只 允许 内 网 中 
172.16.5.0 网 段 的 计算 机 访问 外 网 可 配置 如 下 。 


CE 


当 某 台 内 部 计算 机 通过 防火 墙 访问 外 部 网 络 时 , 可 以 使 用 global 命令 和 nat 命令 来 为 这 台 
内 部 计算 机 分 配 一 个 注册 或 公共 的 P 地 址 。 如 果 使 用 了 nat 命令 ， 就 必须 使 用 global 命令 来 
定义 用 于 转换 的 瑟 地 址 。 其 命令 语法 格式 如 下 所 示 。 


口 了 name 标识 使 用 全 局 地 址 (公共 下 地址 ) 的 外 部 网 络 接口 名 称 。 

口 nat_ id 标识 全 局 地 址 池 (公共 卫 地 址 池 )， 要 与 nat 命令 中 nat id 相同 。 

口 global ip 一 个 亿 地 址 或 一 个 全 局 地 址 范围 内 的 起 始 IP 地 址 。 

口 -global ip 全 局 地 址 范围 内 的 结束 了 他 地 址 。 

口 interface 指定 PAT (端口 NAT) 使 用 接口 上 IP 地 址 。 

例如 ， 在 PIX 防火 墙 上 ， 要 实现 内 网 的 计算 机 通过 PIX 防火 墙 来 访问 外 网 时 ，PIX 防火 
墙 使 用 61.144.51.42 一 61.144.51.48 这 一 全 局 地 址 范围 ， 为 访问 外 网 的 计算 机 分 配 一 个 全 局 卫 
地 址 。 


实现 内 网 要 访问 外 网 时 ，PIX 防火 墙 为 访问 外 网 的 所 有 计算 机 统一 分 配 使 用 61.144.51.42 
这 个 单一 也 地 址 ， 其 配置 命令 如 下 所 示 。 


若 要 删除 上 述 在 PIX 防火 墙 上 的 配置 表 项 ， 可 在 原 有 命令 前 添加 “no” 字 段 ， 


然后 按 回 车 键 即 可 ， 如 Pixfirewall(config)#no global (outside) 1 61.144.51.42。 


在 任何 的 PIX 防火 墙 基础 配置 中 , 均 需 要 route 命令 ,该 命令 是 为 一 个 接口 定义 一 条 静态 
或 默认 的 路 由 。 其 命令 语法 格式 如 下 所 示 。 


口 让 name 内 部 或 外 部 网 络 接口 名 称 。 

口 ip_address 内 部 或 外 部 网 络 了 地址 ， 使 用 0.0.0.0 用 于 指定 一 条 默认 路 由 。 

口 netmask 指定 一 个 匹配 ip_address 参数 的 网 络 掩 码 。 

口 gateway_ip 指定 网 络 路 由 器 的 他 地址， 即 路 由 的 下 一 跳 地 址 。 

口 metric 表示 到 gateway ip 的 跳 数 ， 默 认为 1。 

例如 ， 要 在 PIX 防火 墙 上 ， 定 义 一 条 指向 边界 路 由 器 (IP 地 址 为 61.144.51.111) 的 默认 
路 由 ， 其 配置 命令 如 下 所 示 。 


若 内 部 网 络 只 有 一 个 网 段 ， 按 照 上 面 那样 设置 一 条 默认 路 由 即 可 ， 但 若 内 部 存在 多 个 网 
络 ， 则 需要 配置 一 条 以 上 的 静态 路 由 。 如 创建 两 条 分 别 到 网 络 10.1.1.0 和 网 络 10.2.0.0 的 静态 
路 由 ， 且 静态 路 由 的 下 一 跳 路 由 器 他 地 址 为 172.16.0.1， 其 配置 命令 分 别 如 下 所 示 。 


10.2.3 ”PIX 防火 墙 的 口令 恢复 


当 某 用 户 新 购买 了 一 台 PIX 防火 墙 ， 欲 启动 并 配置 使 用 时 ， 发 现 必须 输入 密码 才能 进入 
系统 的 配置 界面 。 这 时 ， 则 只 能 借助 于 口令 恢复 技术 将 该 PIX 防火 墙 的 口令 清空 。 在 此 ， 以 
PIX 515E 防火 墙 口令 恢复 为 例 。 


1 口令 恢复 前 准备 


口令 恢复 是 把 从 网 上 下 载 的 相关 PIX IOS 版 本 的 np**.bin 文件 , 通过 一 台 TFTP 服务 器 发 
送 到 PIX 防火 墙 操作 系统 内 ， 来 覆盖 原 有 np**.bin 文件 〈 含 密码 ) 的 过 程 。 而 在 进行 这 个 恢 
复 过程 之 前 ， 需 要 做 以 下 准备 工作 。 

口 从 网 上 下 载 相 关 PIX IOS 版 本 的 np**.bin 文件 , 如 与 PIX 515E 防火 墙 匹 配 的 np63.bin 

文件 。 
口 在 一 台 计算 机 上 安装 TFTP 服务 器 程序 ， 并 把 np63.bin 放 到 TFTP 服务 器 目录 下 。 
口 将 安装 TFTP 服务 器 程序 的 计算 机 作为 远程 TFTP 服务器 ,IP 地 址 设 为 192.168.18.254。 
口 使 用 一 条 交叉 线 把 TFTP 服务 器 的 网 卡 与 PIX 的 ethernet 0 连接 起 来 。 
口 使 用 一 条 配置 专用 线 (rollover 线 ) 把 TFTP 服务 器 的 console 口 与 PIX 的 console 口 连 
接 起 来 。 
口 准备 预 设 PIX 的 ethernet 0 IP 地 址 为 192.168.18.111。 


该 PIX 515E 防火 墙 的 np63.bin 文件 名 称 ， 可 通过 进入 PIX 防火 墙 的 monitor> 
模式 ( 启动 系统 后 按 Break 键 或 Esc 键 )， 输 入 show version 并 按 回 车 键 查看 ， 
然后 到 http://www.cisco.com/warp/public/110/34.html 上 面 下 载 。 


网 络 拓扑 示意 图 如 图 10-8 所 示 。 


192.168.18.111 192.168.18.254 
PIX 515E 防 火 墙 TFTP 服 务 器 


10-8 ”恢复 口令 拓扑 结构 图 


若 进行 PIX 515E 防火 墙 口令 恢复 操作 , 需要 启动 防火 墙 系统 , 显示 启动 消息 后 , 按 Break 
键 或 Esc 键 进入 monitor> 模 式 。 然 后 ， 在 该 模式 下 所 执行 的 操作 及 输出 界面 如 下 。 


在 上 述 过 程 中 ，ping 192.168.18.254 用 来 测试 到 TFTP 服务 器 的 连通 性 ， 若 测 
试 不 通 ， 则 需要 仔细 检查 一 下 TFTP 服务 器 网 卡 与 PIX 防火 墙 的 连接 。 另 外 ， 
在 系统 删除 口令 成 功 后 ， 会 自动 重启 ， 此 时 enable 口令 默认 为 空 ; 但 重启 后 
仍 提示 输入 口令 ， 只 需 按 回 车 键 。 


10.3 ”PIX 防火 墙 的 高 级 配置 


在 Cisco PIX 防火 墙 IOS 中 ， 除 了 一 些 基本 配置 外 ， 还 提供 了 地 址 翻译 、 管 道 应 用 、 系 统 
日 志 、 攻 击 防 护 等 高 级 特性 。 利 用 地 址 翻译 允许 更 改正 数据 包 中 的 源 和 目标 地 址 ， 它 通常 用 


于 在 网 络 中 使 用 私有 下 地 址 或 存在 重合 地 址 的 情况 ， 还 可 以 通过 管道 应 用 技术 ， 使 得 内 网 用 
户 访 问 外 网 资源 ， 系 统 日 志和 攻击 防护 功能 ， 提 供 防火 墙 安全 保护 。 


10.3.1 PIX 防火 墙 的 翻译 


当 内 部 数据 通过 PIX 防火 墙 到 达 外 部 时 ， 可 以 使 用 PIX 防火 墙 转换 所 有 的 内 部 IP 地址， 
即 PIX 防火 墙 的 翻译 技术 (NAT)。 从 网 络 安全 角度 来 看 ， 若 通过 一 条 特殊 的 安全 策略 指定 只 
允许 出 站 流量 时 (只 允许 内 网 访问 外 网 )， 则 转换 内 网 地 址 是 非常 安全 的 ， 如 果 内 部 网 络 使 用 
的 是 私有 地 址 ， 那 么 经 过 转换 后 的 源 地 址 必须 是 在 Intemet 上 注册 过 的 地 址 。 

当 用 户 尝试 从 外 部 建立 一 个 到 内 部 的 连接 时 ， 这 个 外 部 用 户 将 不 会 成 功 。 除 非 配 置 PIX 
防火 墙 ， 允 许 从 Intemet 到 目标 地 址 是 私有 地 址 的 会 话 。 

翻译 技术 有 多 种 类 型 ， 对 于 PIX 防火 墙 可 配置 的 有 以 下 几 种 。 


动态 NAT 可 以 将 一 组 真实 〈 私 有 ) 地 址 转换 成 一 些 全 局 〈 公 网 ) 地 址 ， 这 些 公 网 地 址 均 
是 从 一 个 全 局 地 址 的 地 址 池 中 取出 来 的 ， 所 有 公 网 地 址 都 是 在 目标 网 络 上 可 路 由 的 。 

当 内 网 计算 机 向 特定 目标 发 起 连接 时 ，PIX 防火 墙 会 根据 NAT 规则 映射 的 地 址 池 转 换 该 
计算 机 源 地 址 。 在 连接 没有 断 开 之 前 ， 设 备 会 一 直 维 护 这 个 地 址 转换 ， 当 会 话 终止 时 ， 这 个 
地 址 转换 才 会 被 清除 。 

不 过 ， 当 同一 台 计 算 机 发 起 另 一 个 连接 时 ， 不 能 保证 它 还 能 从 地 址 池 中 获得 相同 的 地 址 ， 
因为 地 址 池 中 地 址 的 分 配 遵循 先 到 先 得 的 原则 。 所 以 ， 鉴 于 转换 后 的 地 址 会 发 生变 化 ， 在 使 
用 动态 NAT 时 ， 目 标 网 络 的 用 户 将 无 法 发 起 入 站 连接 。 动 态 NAT 和 PAT 均 只 能 用 于 单 向 连 
接 。 如 图 10-9 所 示 为 动态 NAT 的 工作 方式 。 


209.165.200.225~209.165.200.235 


内 部 网 络 外 部 网 络 


PIX 防 火 墙 
10.1.1.1 


转换 
10.1.1.1-:209.165.200.225 


10.1.1.2 


转换 流量 为 单 向 
10.1.1.2 209.165.200.226 


10.1.1.3 


转换 
10.1.1.3—209.165.200.227 


10-9 动态 NAT 


要 实现 该 NAT 技术 ， 则 需要 在 PIX 防火 墙 上 进行 如 下 配置 。 


动态 PAT 是 把 一 组 真实 〈 私 有 ) 地 址 转换 成 一 个 单一 的 全 局 地 址 ， 然 后 利用 这 个 映射 的 
全 局 地 址 和 源 端 口号 的 组 合 ， 产 生 唯一 的 会 话 。 因 此 ， 每 个 会 话 均 有 不 同 源 端 口号 ， 而 所 有 
这 些 端口 号 不 同 的 数据 包 使 用 的 都 是 同一 个 全 局 地 址 ， 安 全 设备 (PIX 防火 墙 ) 会 把 源 地 址 和 
源 端 口号 (第 3 层 信息 与 第 4 层 信息 的 组 合 ) 转换 成 映射 的 全 局 地 址 和 一 个 大 于 1024 的 唯一 
端口 号 。 

每 个 连接 所 进行 的 转换 均 不 同 ， 因 为 这 些 连接 的 源 端口 号 各 不 相同 。 在 连接 没有 断 开 之 
前 ， 设 备 会 一 直 维 护 这 个 地 址 转换 ， 当 会 话 终止 时 ， 这 个 地 址 转换 才 会 被 清除 。 但 端口 转换 
会 在 闲置 时 间 超 过 30 秒 之 后 超时 (超时 时 间 无 法 进行 配置 )。 

PAT 可 以 使 用 单一 的 映射 地 址 实现 转换 ， 因 此 能 够 节省 可 路 由 的 地 址 资源 。 安 全 设备 的 
接口 PP 地 址 也 可 以 作为 PAT 地 址 。 与 动态 NAT 相似 的 是 ， 在 使 用 动态 PAT 时 ， 目 标 网 络 的 
用 户 也 无 法 发 起 入 站 连接 。 图 10-10 所 示 为 动态 PAT 的 工作 方式 。 


全 局 PAT 地 址 ( 单 IP 地 址 ) 
209.165.200.225 


内 部 网 络 外 部 网 络 


PIX 防 火 增 
10.1.1.1 


转换 
10.1.1.1:1025—209.165.200.225:2021 


10.1.1.1 


10.1.1.1:1026-209.165.200.225:2022 流量 为 单 向 


10.1.1.2 
PAT 使 用 大 于 
1024 的 特殊 端口 


转换 
10.1.1.2:1027-*209.165.200.225:2023 


转换 
10.1.1.3:1028-»209.165.200.225:2024 


10-10 动态 PAT 


在 PIX 防火 墙 上 ， 要 想 实现 动态 NAT 技术 则 需 进 行 如 下 配置 。 


静态 NAT 形成 的 是 一 个 固定 不 变 的 (一 对 一 ) 转换 , 将 真实 (私有 ) 地 址 映射 成 全 局 ( 公 
网 ) 地 址 。 每 个 连续 的 连接 通过 静态 NAT 都 可 以 拥有 一 个 固定 的 转换 规则 。 由 于 映射 的 地 址 
不 变 ， 所 以 目标 网 络 的 用 户 可 以 向 被 转换 计算 机 发 起 连接 。 

使 用 static 命令 可 以 为 一 个 较 高 安全 级 别 接口 上 的 计算 机 地 址 和 一 个 较 低 安 全 级 别 接口 上 
的 计算 机 地 址 建立 一 个 永久 性 的 关联 。 静 态 的 NAT 和 PAT 均 可 用 于 双向 连接 。 图 10-11 所 示 
为 一 个 静态 NAT 的 工作 方式 。 


静态 一 对 一 转换 


图 10-11 静态 NAT 


在 PIX 防火墙 上 ， 实 现 该 静态 NAT 技术 则 需 进行 如 下 配置 。 


例如 ， 配 置 内 部 NAT (一 对 一 ) 静态 转换 ， 将 一 个 内 部 人 P 地 址 〈10.1.1.1) 到 一 个 外 部 
IP 地 址 (209.165.200.1) 配置 为 静态 NAT 转换 (固定 转换 )， 需 输入 以 下 命令 。 


配置 外 部 NAT (一 对 一 ) 静态 转换 ， 利 用 静态 映射 将 外 部 地 址 〈209.165.200.15) 到 内 部 
地 址 〈209.165.200.6) 配置 为 一 个 外 部 NAT 转换 (固定 转换 )， 需 输入 以 下 命令 。 


配置 内 部 NAT 把 整个 子 网 执行 (一 对 一 ) 静态 转换 ， 将 一 个 具有 24 位 子 网 掩 码 的 子 网 
(一 对 一 ， 计 算 机 对 计算 机 ) 配置 为 一 个 静态 的 映射 〈 固 定 转换 )， 需 输入 以 下 命令 。 


静态 PAT 与 静态 NAT 有 些 相 似 ， 它 们 的 区 别 在 于 静态 PAT 可 以 为 私有 地 址 和 转换 后 的 
地 址 指定 第 4 层 端口 信息 。 

若 TFTP、HTTP 和 SMTP 等 服务 在 本 地 网 络 的 不 同 服务 器 上 时 ， 如 果 想 要 为 公 网 用 户 提 
供 单一 的 地 址 去 访问 这 些 服务 ， 使 用 PAT 是 非常 合适 的 。 此 时 ， 需 要 为 所 有 服务 器 定义 多 个 
静态 语句 ， 将 这 些 服务 器 各 自 的 真正 瑟 地 址 映射 到 同一 公有 IP 地 址 和 不 同 端口 。 图 10-12 所 
示 为 一 个 静态 PAT 的 例子 。 


为 网 络 层 和 传输 层 信息 进 
行 一 对 一 静态 转换 


静态 固定 转换 
10.1.1.1:69 一 209.165.200.225:69 


静态 固定 转换 | 
10.1.1.2:80 —»209.165.200.225:80 | 
静态 固定 转换 


10.1.1.3:25 一 209.165.200.225:25 


多 项 服务 被 映射 为 
同一 个 全 局 地 址 


图 10-12 静态 PAT 
在 PIX 防火 墙 上 ， 要 实现 该 PAT 实例 目的 ， 则 需 进 行 如 下 配置 。 


10.3.2 ”PIX 防火 墙 的 管道 应 用 


尽管 大 多 数 的 连接 是 从 高 安全 级 别 接口 到 低 安 全 级 别 的 接口 ， 但 有 时 也 有 来 自 低 安全 级 


别 到 高 安全 级 别 接口 的 连接 。 而 对 于 低 安全 级 别 接口 到 高 安全 级 别 接口 的 连接 ， 则 可 以 使 用 
static〈 静 态 地 址 翻译 )》 和 conduit (设置 管道 ) 命令 。PIX 防火 墙 管道 应 用 网 络 拓扑 图 ， 如 图 


10-13 所 示 。 


Internet 


PIX 防 火 墙 


图 10-13 PIX 防火 墙 管道 应 用 


由 于 static 命令 允许 在 一 个 特殊 的 内 部 地 址 和 一 个 全 局 地 址 之 间 , 建立 一 个 永久 的 映射 关 
系 ， 这 样 将 为 低 安全 级 别 的 接口 访问 高 安全 级 别 的 接口 设置 一 个 管道 ， 从 而 实现 内 网 访问 外 
网 的 目的 。 

然而 ， 即 使 使 用 static 命令 创建 一 个 内 部 人 P 地 址 到 全 局 地 址 的 静态 映射 关系 ， 但 PIX 防 
火 墙 的 安全 算法 仍然 会 堵塞 从 外 部 接口 〈 安 全 级 别 较 高 ) 到 内 部 接口 的 连接 。 此 时 ， 则 需要 
通过 conduit 命令 解决 该 问题 ， 因 为 conduit 命令 的 应 用 ， 能 够 在 PIX 防火 墙 的 ASA 上 人 允许 接 
口 之 间 的 流量 经 过 。 

conduit 命令 能 够 实现 ， 从 PIX 防火 墙 的 外 部 到 内 部 网 络 上 某 台 计算 机 的 TCP 或 UDP 服 
务 的 连接 ， 即 形成 连接 管道 ， 且 可 多 达 8000 个 。 另 外 ， 还 可 使 用 no conduit 命令 来 删除 一 个 
管道 。conduit 命令 的 语法 如 下 所 示 。 


口 permitldeny 人 允许 | 拒绝 访问 。 

口 global ip 指 之 前 由 global 或 static 命令 定义 的 全 局 四 地 址 ， 若 global ip 为 0， 则 可 
使 用 any 代替 0， 若 global ip 代表 一 台 计 算 机 ， 则 可 利用 host 命令 参数 。 

口 port 指定 内 部 服务 所 用 的 端口 ， 可 使 用 服务 名 称 或 端口 数字 来 配置 ， 如 WWW 使 用 
80，SMTP 使 用 25 等 。 

口 protocol 指 建立 连接 所 使 用 的 协议 ， 如 TCP、UDP、ICMP 等 。 

口 foreign ip 表示 可 访问 global ip 的 外 部 卫 。 对 于 所 有 或 任意 计算 机 ， 可 使 用 any 表 
示 ， 若 foreign ip 代表 一 台 计 算 机 ， 则 用 host 命令 参数 。 

若 要 在 PIX 防火 墙 上 进行 如 下 管道 应 用 设置 时 ， 其 代表 的 含义 分 别 如 下 所 述 。 


表示 人 允许 任何 外 部 计算 机 对 全 局 地 址 为 192.168.0.8 的 计算 机 进行 http 访问 。 其 中 使 用 eq 
和 一 个 端口 (www) 来 允许 或 拒绝 对 该 端口 的 访问 。eq ftp 就 代表 允许 或 拒绝 只 对 ftp 服务 器 
的 访问 。 


表示 不 允许 外 部 人 P 地 址 为 61.144.51.89 的 计算 机 ， 对 任何 全 局 地 址 进行 fp 访问 。 


表示 允许 ICMP 消息 可 以 在 内 部 网 络 和 外 部 网 络 之 间 双 向 传递 。 另 外， 假设 内 网 用 户 可 
以 ping 外 部 计算 机 时 ， 那 么 必须 为 ICMP 的 echo reply (ICMP 应 答 ) 创建 一 个 ICMP 通道 。 
如 Pixfirewall(config)#conduit permit icmp any any echo-reply。 


该 例子 说 明 static 和 conduit 的 关系 。192.168.0.4 代表 内 网 的 一 台 Web 服务 器 ， 要 实现 外 
网 用 户 能 够 通过 PIX 防火 墙 得 到 Web 服务 ， 因 此 先 做 static 静态 映射 (192.168.0.4 
一 >61.144.51.66), 然后 利用 conduit( 通 道 ) 命 令 , 允许 任何 外 网 计算 机 对 全 局 地 址 61.144.51.66 
进行 http 访问 。 


10.3.3 ”PIX 防火 墙 系统 日 志 


系统 日 志 用 来 记录 系统 中 硬件 、 软 件 和 系统 问题 的 信息 ， 同 时 还 可 以 监视 系统 中 发 生 的 
事件 。 用 户 可 以 通过 它 来 检查 错误 发 生 的 原因 ， 或 者 寻找 受到 攻击 时 攻击 者 留 下 的 痕迹 。 
通常 , PIX 防火 墙 在 记录 和 显示 日 志 时 , 将 会 指定 系统 日 志 消息 等 级 为 一 个 数字 或 字符 串 
(默认 等 级 为 3); 还 可 以 采用 手动 方式 指定 其 日 志 消息 等 级 〈level)， 来 表示 想 要 显示 该 等 级 
和 低 于 该 等 级 的 系统 日 志 消息 。 例 如 ， 日 志 等 级 为 5 时 ， 则 系统 日 志 将 显示 0 一 5 级 的 消息 。 
PIX 防火 墙 系统 中 ， 可 用 于 指定 日 志 等 级 的 数字 或 字符 串 值 ， 如 表 10-1 所 示 。 


表 10-1 日 志 级 别 及 显示 形式 


0 emergencies 系统 不 可 用 消息 

| alerts 立即 采用 行动 

2 critical 关键 状态 

3 errors 出 错 消息 

4 Warrings 警告 消息 

过 notifications 正常 但 有 特殊 意义 的 状态 

6 informational 信息 消息 

debugging 调试 消息 、FTP 命令 及 WWW URL 记录 


在 一 般 情 况 下 , PIX 防火 墙 的 日 志 功 能 是 禁用 的 。 为 了 启动 日 志 功能 , 需要 使 用 logging on 


命令 ， 并 把 日 志 发 送 到 某 一 台 日 志 服务 器 上 。 其 配置 过 程 如 下 所 示 。 


另外 ， 在 PIX 防火 墙 上 还 可 对 系统 日 志 进 行 其 他 一 些 设置 ， 如 日 志 系统 缓冲 区 级 别 、 缓 
冲 区 大 小 、 历 史记 录 大 小 及 如 何 关 闭 日 志 功 能 等 ， 它 们 的 配置 方法 分 别 如 下 所 示 。 


10.3.4 ”PIX 防火 墙 高 级 协议 处 理 


在 内 网 与 外 网 之 问 由 防火 墙 建立 连接 中 ， 当 外 部 用 户 访问 内 网 时 ， 每 个 入 站 数据 包 都 将 
会 由 防火 墙 对 其 进行 检测 ， 这 也 是 所 有 防火 墙 最 基本 的 功能 〈 主 要 对 网 络 层 进 行 检测 )。 

不 过 ， 随 着 攻击 技术 的 不 断 发 展 ， 为 了 防止 非法 用 户 以 高 级 协议 〈 如 传输 层 协 议 、 应 用 
层 协 议 ) 为 攻击 点 进行 入 侵 , 逐步 推出 了 基于 传输 层 \ 应 用 层 实施 监控 的 防火 墙 产品 , Cisco PIX 
防火 墙 在 这 一 点 就 有 很 大 的 突破 。 因 为 ， 它 除了 对 网 络 层 进行 检测 外 ， 还 支持 状态 化 监控 和 
应 用 层 协 议 监控 两 种 技术 ， 保 护 网 络 的 安全 。 


对 于 PIX 防火 墙 来 说 ， 任 何 一 个 入 站 数据 包 都 将 由 它 根据 自 适应 安全 算法 和 连接 状态 信 
息 进 行 监控 ， 以 此 决定 是 要 放行 还 是 要 丢弃 这 个 数据 包 。 

如 果 到 达 的 数据 包 是 新 建 连接 的 一 部 分 ， 自 适应 安全 算法 会 根据 访问 控制 列表 (ACL) 
及 其 他 常规 任务 (如 路 由 表 ) 来 判断 是 放行 还 是 丢弃 该 数据 包 。 此 时 ，PIX 状态 化 防火 墙 中 会 
话 管理 路 径 会 按照 如 下 顺序 检查 数据 包 的 状态 。 

口 检查 访问 列表 (ACL )。 

口 查看 路 由 表 。 

口 指派 NAT 转换 。 

口 建立 会 话 的 “快速 路 径 ”。 

口 将 数据 包 交 给 检测 程序 ， 来 检查 它 的 负载 以 实现 应 用 层 监 控 。 

如 果 到 达 的 数据 包 属 于 一 个 已 经 建立 的 连接 ， 自 适应 安全 算法 不 会 重新 对 这 个 数据 包 进 
行 检查 ， 它 会 通过 快速 路 径 双 向 穿越 防火 墙 的 已 建立 连接 表 中 匹配 这 个 数据 包 。 快 速 路 径 会 


进行 如 下 检查 。 
口 瑟 校 验 和 验证 。 
口 查看 会 话 。 
口 检查 TCP 序列 号 。 
口 根据 已 建立 的 会 话 进行 NAT 转换 。 
口 核对 网 络 层 和 传输 层 数据 报头 。 


除了 上 面 提 到 的 状态 化 监控 功能 外 ， 自 适应 安全 算法 还 增加 了 应 用 层 智能 监控 功能 ， 它 
可 以 检查 并 且 制 止 一 些 应 用 层 协 议 的 攻击 。 

应 用 层 协 议 监控 功能 ， 可 以 对 数据 包 的 他 头 部 和 负载 (数据 》 部 分 的 内 容 进行 检查 ， 以 
此 实现 对 应 用 层 协 议 流量 (如 HTTP) 的 深度 监控 。 传统 的 防火 墙 最 多 只 能 维护 传输 层 的 会 话 
信息 ， 但 Cisco PIX 防火 墙 (还 有 其 他 安全 设备 ) 防御 功能 上 了 一 个 台阶 ， 进 而 可 以 对 数据 包 
的 应 用 层 负 载 信 息 进行 监控 。 

由 于 Cisco PIX 防火 墙 能 够 了 解 应 用 层 的 信息 , 也 就 可 以 对 数据 包 的 负载 部 分 进行 深度 监 
控 ， 以 探测 到 一 切 恶意 的 行为 。 如 图 10-14 所 示 ， 当 防火 墙 收 到 一 个 常见 应 用 层 协议 的 数据 包 
(如 HITP) 时 ， 它 会 根据 相应 的 应 用 层 协议 来 对 这 个 数据 包 进 行 检查 ;查看 这 个 数据 包 的 操 
作 行 为 是 否 符合 RFC 标准 ， 以 此 判断 这 个 数据 包 是 否 存在 恶意 的 企图 。 

如 果 这 个 数据 包 是 经 过 恶意 伪装 的 ,那么 设备 就 会 发 现 它 的 操作 和 行为 不 符合 RFC 标准 ， 
于 是 这 个 数据 包 将 会 被 设备 阻塞 。 而 如 果 使 用 传统 的 访问 列表 ， 这 些 数据 包 将 会 被 设备 放行 ， 
因为 访问 控制 列表 只 能 检查 数据 包 的 网 络 层 和 传输 层 信息 。 


PIX 防 火 墙 ( 带 有 应 用 
层 协议 监控 功能 ) 


将 伪造 的 恶意 /非法 数据 包 


SS (如 病毒 、 蜂 虫 或 其 他 非 
YY- 一 HTTP 数 据 包 (伪造 汪 一 一 法 应 用 ) 封装 到 使 用 TCP 


380 端口 的 HTTP 数 据 包 中 ， 
其 行为 与 标准 行为 不 符 


应 用 层 智能 特性 ， 对 数 
据 包 负载 实现 高 级 协议 
监控 ， 如 果 负载 中 的 操 
作 与 协议 不 符 ， 数据 包 
将 被 阻塞 ， 相 反 将 放行 


图 10-14 应 用 层 协议 监控 
许多 网 络 攻击 采取 的 都 是 嵌入 式 的 方法 ， 即 将 恶意 的 流量 封装 到 常用 的 应 用 层 协议 中 来 


发 起 攻击 ， 而 具备 应 用 层 监控 功能 的 PIX 防火 墙 ， 就 可 以 采用 以 上 监控 技术 保护 网 络 免 受 许 
多 这 类 攻击 的 侵袭。 


10.3.5 ”PIX 防火 墙 攻击 防护 


攻击 防护 功能 是 防火 墙 的 重要 特性 之 一 ， 通 过 分 析 报 文 的 内 容 特征 和 行为 特征 判断 报 文 
是 否 具有 攻击 特性 ， 并 且 对 攻击 行为 采取 措施 以 保护 网 络 计算 机 或 者 网 络 设备 。 

防火 墙 的 攻击 防护 功能 ， 能 够 检测 拒绝 服务 型 、 扫 描 窥 探 型 、 畸 形 〈 伪 造 ) 报 文 型 等 多 
种 类 型 的 攻击 ， 并 对 攻击 采取 合理 的 防范 措施 。 攻 击 防护 的 具体 功能 包括 黑 名 单 过 滤 、 报 文 
攻击 特征 识别 、 流 量 异常 检测 和 入 侵 检测 统计 。 

随 着 网 络 技术 的 普及 和 应 用 的 多 样 化 与 复杂 化 ， 出 现 的 攻击 行为 越 来 越 多 ， 使 得 各 种 网 
络 病毒 泛滥 ， 加 剧 网 络 被 攻击 的 危险 。 目 前 ，Internet 上 常见 的 网 络 安全 威胁 分 为 以 下 三 类 。 

口 Dos 攻击 

DoS 攻击 是 利用 大 量 的 数据 包 攻 击 目标 系统 ， 使 目标 系统 无 法 接受 正常 用 户 的 请 求 ， 或 
者 使 目标 主机 挂 起 不 能 正常 工作 ， 其 主要 攻击 方式 有 SYN Flood、Fraggle 等 。DoS 攻击 和 其 
他 类 型 的 攻击 不 同 之 处 在 于 ， 攻 击 者 并 不 是 去 寻找 进入 目标 网 络 的 入 口 ， 而 是 通过 扰乱 目标 
网 络 的 正常 工作 来 阻止 合法 用 户 访问 网 络 资源 。 

口 扫描 窥探 攻击 

扫描 窥探 攻击 利用 ping 扫描 (包括 ICMP 和 TCP) 标识 网 络 上 存在 的 活动 计算 机 ， 从 而 
可 以 准确 定位 潜在 目标 的 位 置 ; 利用 TCP 和 UDP 端口 扫描 检测 出 目标 操作 系统 和 启用 的 服务 
类 型 。 攻 击 者 通过 扫描 窥探 ， 能 够 大 致 了 解 目标 系统 提供 的 服务 种 类 和 潜在 的 安全 漏洞 ， 为 
进一步 入 侵 目 标 系统 作 好 准备 。 

口 畸形 报 文 攻击 

畸形 报 文 攻击 是 通过 向 目标 系统 发 送 有 缺陷 的 了 报 文 , 如 分 片 重合 的 IP 报 文 、TCP 标志 
位 非法 的 报 文 ， 使 得 目标 系统 在 处 理 这 些 人 P 报 文 时 崩溃 ， 给 目标 系统 带 来 损失 。 主 要 的 畸形 
报 文 攻击 有 Ping of Death、Teardrop 等 。 


在 多 种 网 络 攻击 类 型 中 ，DoS 攻击 是 最 常见 的 一 种 ， 因 为 这 种 攻击 方式 对 攻 
击 技能 要 求 不 高 ， 攻 击 者 可 以 利用 各 种 开放 的 攻击 软件 实施 攻击 行为 ， 所 以 
DoS 攻击 的 威胁 逐步 增 大 。 成 功 的 DoS 攻击 会 导致 服务 器 性 能 急剧 下 降 ， 造 
成 正常 客户 访问 失败 ; 同时 ， 提 供 服务 的 企业 的 信誉 也 会 蒙受 损失 ， 而 且 这 
种 危害 是 长 期 性 的 。 


PIX 防火 墙 , 能 够 利用 有 效 的 攻击 防范 技术 ,主动 防御 各 种 常见 的 网 络 攻击 , 保证 网 络 在 
遭受 越 来 越 频繁 的 攻击 的 情况 下 能 够 正常 运行 ， 从 而 实现 防火 墙 的 整体 安全 解决 。 在 PIX 防 
火 墙 系统 中 ， 常 见 攻击 及 防护 方式 如 下 所 述 。 


运用 ping 类 型 的 程序 探测 目标 地 址 ， 对 此 作出 响应 的 系统 表示 其 存在 ， 该 探测 可 以 用 来 
确定 哪些 目标 系统 确实 存在 并 且 是 连接 在 目标 网 络 上 的 。 也 可 以 使 用 TCP/UDP 报 文 对 一 定 地 
址 发 起 连接 (如 TCP ping), 通过 判断 是 否 有 应 答 报 文 来 探测 目标 网 络 上 有 哪些 系统 是 开放 的 。 


检测 进入 PIX 防火 墙 的 ICMP、TCP 和 UDP 报 文 , 统计 从 同一 个 源 卫 地 址 发 出 报 文 的 不 
同 目的 瑟 地 址 个 数 。 如 果 在 一 定 的 时 间 内 ， 目 的 卫 地 址 的 个 数 达到 设置 的 阔 值 ， 则 直接 丢弃 
报 文 ， 并 记录 上 日志， 然后 根据 配置 决定 是 否 将 源 瑟 地 址 加 入 黑 名 单 。 


端口 扫描 攻击 通常 使 用 一 些 软件 ， 向 目标 主机 的 一 系列 TCP/UDP 端口 发 起 连接 ， 根 据 应 
答 报 文 判断 主机 是 否 使 用 这 些 端口 提供 服务 。 

利用 TCP 报 文 进行 端口 扫描 时 ， 攻 击 者 向 目标 主机 发 送 连接 请 求 《TCP SYN) 报 文 ， 若 
请 求 的 TCP 端口 是 开放 的 ， 目 标 主机 回应 一 个 TCP ACK 报 文 ， 若 请 求 的 服务 未 开放 ， 目 标 
主机 回应 一 个 TCP RST 报 文 ， 通 过 分 析 回 应 报 文 是 ACK 报 文 还 是 RST 报 文 ， 攻 击 者 可 以 判 
断 目标 主机 是 否 启用 了 请 求 的 服务 。 

利用 UDP 报 文 进行 端口 扫描 时 ， 攻 击 者 向 目标 主机 发 送 UDP 报 文 ， 若 目标 主机 上 请 求 
的 目的 端口 未 开放 ， 目标 主机 回应 ICMP 不 可 达 报 文 ， 若 该 端口 是 开放 的 ， 则 不 会 回应 ICMP 
报 文 ， 通 过 分 析 是 否 回应 了 ICMP 不 可 达 报 文 ， 攻 击 者 可 以 判断 目标 主机 是 否 开 放 了 端口 。 
这 种 攻击 通常 在 判断 出 目标 主机 开放 了 哪些 端口 之 后 ， 将 会 针对 具体 的 端口 进行 更 进一步 的 
攻击 。 

检测 进入 PIX 防火 墙 的 TCP 和 UDP 报 文 ， 统 计 从 同一 个 源 人 P 地 址 发 出 报 文 的 不 同 目的 
端口 个 数 。 如 果 在 一 定 的 时 间 内 ， 端 口 个 数 达 到 设置 的 阔 值 ， 则 直接 丢弃 报 文 ， 并 记录 日 志 ， 
然后 根据 配置 决定 是 否 将 源 卫 地 址 加 入 黑 名 单 。 


Land 攻击 利用 TCP 连接 建立 的 三 次 握手 功能 ， 通 过 将 TCP SYN 包 的 源 地 址 和 目标 地 址 
都 设置 成 某 一 个 受 攻击 者 的 卫 地 址 ， 导致 受 攻击 者 向 自己 的 地 址 发 送 SYN ACK 消息 。 这样 ， 
受 攻击 者 在 收 到 SYN ACK 消息 后 ， 就 会 又 向 自己 发 送 ACK 消息 ， 并 创建 一 个 空 TCP 连接 ， 
而 每 一 个 这 样 的 连接 都 将 保留 直到 超时 。 

因此 ， 如 果 攻 击 者 发 送 了 足够 多 的 SYN 报 文 ， 就 会 导致 被 攻击 者 系统 资源 大 量 消耗 。 各 
种 系统 对 Land 攻击 的 反应 不 同 ，UNIX 系统 将 崩溃 ，Windows 系统 会 变 得 极其 缓慢 。 

存在 此 攻击 时 ，PIX 防火 墙 将 检测 每 一 个 IP 报 文 的 源 地 址 和 目标 地 址 ， 若 两 者 相同 ， 或 
者 源 地 址 为 环 回 地 址 127.0.0.1， 则 根据 用 户 配置 选择 对 报 文 进行 转发 或 拒绝 接收 ， 并 将 该 攻 
击 记录 到 日 志 。 


简单 的 Smurf 攻击 是 向 目标 网 络 计算 机 发 ICMP 应 答 请 求 报 文 ， 该 请 求 报 文 的 目标 地 址 
设置 为 目标 网 络 的 广播 地 址 ， 这 样 目标 网 络 的 所 有 计算 机 都 对 此 ICMP 应 答 请 求 做 出 答复 ， 
导致 网 络 阻塞 。 

高 级 的 Smurf 攻击 是 将 ICMP 应 答 请 求 报 文 的 源 地 址 改 为 目标 计算 机 的 地 址 ， 通 过 向 目 
标 计算 机 持续 发 送 ICMP 应 答 请 求 报 文 最 终 导致 其 崩溃 。 

若 存在 该 攻击 时 , PIX 防火 墙 将 检查 ICMP 应 答 请 求 报 文 的 目标 地 址 是 否 为 子 网 广播 地 址 


或 子 网 的 网 络 地 址 ， 如 果 是 ， 则 根据 用 户 配置 选择 对 报 文 进行 转发 或 拒绝 接收 ， 并 将 该 攻击 
记录 到 日 志 。 


它 类 似 于 Smurf 攻击 ， 只 是 它 利 用 UDP 应 答 报 文 而 不 是 ICMP 报 文 。 攻 击 者 向 某 子 网 广 
播 地 址 发 送 源 地 址 为 目标 网 络 或 目标 计算 机 的 UDP 报 文 ， 目 的 端口 号 使 用 7 (echo 服务 ) 或 
19 〈Chargen 服务 )。 该 子 网 内 启用 echo 服务 或 者 Chargen〈 一 种 仅仅 发 送 字符 的 服务 ) 服务 
的 每 个 计算 机 都 会 向 目标 网 络 或 目标 计算 机 发 送 响应 报 文 ， 从 而 引发 大 量 无 用 的 响应 报 文 ， 
导致 目标 网 络 的 阻塞 或 目标 计算 机 的 衣 溃 。 

检查 进入 PIX 防火 墙 的 UDP 报 文 , 如 果 报 文 的 目的 端口 号 为 7 或 19, 则 根据 用 户 配置 选 
择 对 报 文 进行 转发 或 拒绝 接收 ， 并 将 该 攻击 记录 到 日 志 ， 和 否则 允许 通过 。 


SYN Flood 攻击 通过 伪造 一 个 SYN 报 文 向 服务 器 发 起 连接 ， 其 源 地 址 是 伪造 的 或 者 一 个 
不 存在 的 地 址 。 服 务 器 在 收 到 该 报 文 后 发 送 SYN ACK 报 文 应 答 ,， 由 于 攻击 报 文 的 源 地址 不 可 
达 ， 因 此 应 答 报 文 发 出 去 后 ， 不 会 收 到 ACK 报 文 ， 造 成 一 个 半 连 接 。 如 果 攻 击 者 发 送 大 量 这 
样 的 报 文 ， 会 在 被 攻击 计算 机 上 出 现 大 量 的 半 连 接 ， 从 而 消耗 其 系统 资源 ， 使 正常 的 用 户 无 
法 访问 。 

遭受 该 攻击 时 ,可 将 PIX 防火 墙 作为 客户 端 与 服务 器 通信 的 中 继 ， 当 客户 端 发 起 连接 时 ， 
防火 墙 并 不 把 SYN 报 文 传递 给 服务 器 ， 而 是 自己 向 客户 端 发 送 SYN ACK 报 文 ， 之 后 如 果 防 
火 墙 收 到 客户 端的 确认 报 文 ， 才 会 与 服务 器 进行 连接 。 


ICMP Flood 攻击 通过 短 时 间 内 向 特定 目标 系统 发 送 大 量 的 ICMP 消息 (如 执行 ping 程序 ) 
来 请 求 其 回应 ， 致 使 目标 系统 忙于 处 理 这 些 请 求 报 文 而 不 能 处 理 正常 的 网 络 数据 报 文 。 

此 时 ，PIX 防火 墙 可 通过 智能 流量 检测 技术 ， 检 测 通 向 特定 目的 地 址 的 ICMP 报 文 速率 ， 
如 果 报 文 速率 超过 阔 值 上 限 ， 则 认为 攻击 开始 ， 就 根据 用 户 的 配置 选择 丢弃 或 者 转发 后 续 连 
接 请 求 报 文 ， 同 时 将 该 攻击 记录 到 日 志 。 当 速率 低 于 设 定 的 阔 值 下 限 后 ， 检 测 到 攻击 结束 ， 
正常 转发 后 续 连 接 请 求 报 文 。 


其 攻击 原理 与 ICMP Flood 攻击 类 似 , 攻击 者 在 短 时 间 内 通过 向 特定 目标 发 送 大 量 的 UDP 
消息 ， 导 致 目标 系统 负担 过 重 而 不 能 处 理 正 常 的 数据 传输 任务 。 

PIX 防火 墙 遭 遇 该 攻击 时 ， 可 通过 智能 流量 检测 技术 ， 检 测 通 向 特定 目标 地 址 的 UDP 报 
文 速率 ， 如 果 报 文 速率 超过 阔 值 上 限 ， 则 检测 到 攻击 开始 ， 就 根据 用 户 的 配置 选择 丢弃 或 者 
转发 后 续 连 接 请 求 报 文 ， 同 时 将 该 攻击 记录 到 日 志 。 当 速率 低 于 设 定 的 阔 值 下 限 后 ， 检 测 到 
攻击 结束 ， 正 常 转发 后 续 连 接 请 求 报 文 。 
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10.4 操作 实例 


10.4.1 护 币 完全 


PJX 防 兴 生前 芒 容 于 加 


PIX 防火 墙 应 用 安全 算法 ,拒绝 未 经 允许 的 数据 包 ， 实 现 动态 ,静态 地 址 映射 有 效 屏蔽 
内 部 网 络 ， 通 过 管道 技术 ， 控 制 内 外 部 各 种 资源 的 访问 。 


@ 1. 实例 目的 站 


口 显示 运行 配置 文件 。 
口 命名 接口 名 称 。 

口 设置 接口 安全 级 别 。 
口 设置 接口 耻 地 址 。 


@ 2. 实例 步骤 大 

(1) 在 用 户 模式 下 输入 enable 〈 进 入 特权 模式 ) 命令 ， 并 按 回 车 键 ， 如 图 10-15 所 示 。 

(2) 在 特权 模式 下 输入 configure terminal (进入 全 局 配置 模式 ) 命令 ， 并 按 回 车 键 ， 如 图 
10-16 所 示 。 


Blo Eyew Cal Tranfor Hop 
DB 全 下 | DB| 思 


图 10-15 进入 特权 模式 图 10-16 进入 全 局 配置 模式 


(3) 在 全 局 配置 模式 下 输入 write terminal (显示 运行 配置 文件 ) 命令 ， 并 按 回 车 键 ， 如 
图 10-17 所 示 。 

(4) 在 全 局 配置 模式 下 输入 hostname KPIX (命名 防火 墙 ) 命令 , 并 按 回 车 键 , 如 图 10-18 
所 示 。 
(5) 在 全 局 配置 模式 下 输入 nameif e2 dmz security50 〈 设 置 e2 接口 名 字 为 dmz， 安 全 级 
别 为 50) 命令 ， 并 按 回 车 键 ， 如 图 10-19 所 示 。 

(6) 在 全 局 配置 模式 下 输入 show nameif (查看 接口 信息 ) 命令 ， 并 按 回 车 键 ， 如 图 10-20 
所 示 


(7) 在 全 局 配置 模式 下 输入 interface e0 100 full (设置 端口 为 100Mbps 全 双 工 通信 ) 命令 ， 


pixtirevall [config)# write 上 ErTIPST 
Building corfiguarion 
Saved 


PIX Version 5.3(1) 

name1r echernecO oucslde securicy0 

amelr echernecl inside securlcyl00 
nameiE ethernets incf2 sccuricy10 

enable pasaword 6py2YjIyt7RRXU24 cncrypccd 
pasawd 2FTOnbNTaI,3KYOU encrypted 

hostname pixfirevall failover ip address intf2 0.0.0.0 
fixap protocnl frp 21 arp timeout 14400 

fixup prorocol hrrp Bo 
fixup protocol h323 1720 
fixup protocol rsh 514 
fixup protocol smtp 25 
fixup protocol sqlner 1521 
fixup protocol sip 5060 terpinal widch 80 

names Cryptocheckswo: daldBcd96t00b204e9800996ecf6427e 
pager lines 24 end 

logg1ng on [om 

no logging zlmescamnp plxtirevall (canrlg)# hoacnamne FPIX 

more--> KPIx(tconfig)h 


Console - HyperTerminal 


timeont xlace 3100:00 
timeou conn 1:00:00 halz-closed 0:10:00 udp 0:02::3 0:05:0| 
timeou uauth 0:05:00 absolute 
aaarserver TACAC3+ pcorocol tacacst 
-server FADIIS protocol redius 
no arap-server location 
no snmp-aerver contact 
samp-server cemmnity public 
na snap-server enanle craps 
loodguard enaple 
no sysopt roure dnar ods 
aanmy 2denclry hoscaane ceyprocheckaum:ad1d8cdsBz00b204ecec0coBectei27e 
pixtirevall (config)# hoatname KPIX KPIX (conf1g)# slow nameif 
KPIX (conr 3g)# nemear 了 ameiz ethernetd cucside security0 
usage: [no] namelf chardvare 1¢> <if nane> < nameif echernerl inside security100 
KPIX (COE19)# namelf ez ds ecuricyso A i en | 
ERPIK (conE ij 人 PITK(cont3g)## 


aaa-server RADIUS protocol radius 
no snp-server location 

no srp-server contact 
‘snmp-server commnity public 

no srp-server enaple craps 
looqguard eneple 

no zysope route dnat 

aaaiamp adenticy hoacname 

alnes tinecut 5 

‘ah timeour 5 


图 10-19 命名 接口 名 称 并 设置 安全 级 别 图 10-20 查看 接口 信息 


(8) 在 全 局 配置 模式 下 输入 write memory〔 保 存 配 置 ) 命令 ， 并 按 回 车 键 ， 如 图 10-22 
所 示 。 


no rp-server location 
no snwp-server contact 

nmp-server commnity public 

no snp-server enable Craps 

floodguard ensple 

pixfirevall (confiq) # hostname EPIX 

KPIX (config)# naveif 了 

[usage: [no] nameif <hardvare id> <if name> < 
KPIX {config)# naveif e2 dms Securiry50 

KPIK (config)# sbow nameis 

nameif echernecO outside securityO 

nameiz ethernet1 inside securiry100 

namnelz echernec2 coz securitys0 

KPIx (conrig)# ircertace echerner 0 10ru1L 
PIX leonfig)# 


He - HyperTerminal 


ip adoress inside 172.16.1.1 255.255.255.0 
ip address dmz 10.1.1.1 255.255.255.0 
Current IP doresses: 


ip adcress outside 30.200.2.1 255.255.255.0 
ip adoress inside 172.15.1.1 255.255.255.0 

KPIX (config)# write wevory 

Bailding configuration... 

Cryptochecksus: 5663Te135 Te933c53 e277ra4 96753908 

Lo] 

EPIx(config)# 


图 10-21 设置 接口 类 型 为 全 双 工 通信 图 10-22 保存 配置 
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10.4.2 揭 作 完 信 PJX 防 兴 入 济 NAT 宛 寻 


NAT 通过 在 转发 数据 包 到 外 部 网 络 之 前 ， 将 内 部 人 P 转换 为 全 球 公认 的 人 P 地 址 ， 实 现 将 
PIX 后 面 的 内 部 网 络 对 外 隐藏 起 来 的 任务 。 


1. 实例 目的 站 

口 配置 接口 名 称 。 

口 配置 接口 安全 等 级 。 
口 创建 转换 地 址 池 。 


C2 实例 步骤 站 

(1) 在 非特 权 模式 下 输入 enable〈 进 入 特权 模式 ) 命令 ， 并 按 回 车 键 ， 如 图 10-23 所 示 。 

(2) 在 特权 模式 下 输入 configure terminal (进入 配置 模式 ) 命令 , 并 按 回 车 键 ， 如 图 10-24 
所 示 。 


4001 ”直线 涡 | 4001 -起 信人 站 目 昌 四 


文件 中 端 狂 色 查看 中 WC) 传送 开 ) 着 盘 W0 文件 中 鼎 轿 中 查看 中 WC) 代 渤 TD) 才 助 00 
D3 DEE DD 号 DHE 罗 

pixfirewall> pixtirewall> 

pixfirewall> pixfirewal]# 
pixfirewall> enable pixfirewall# conf igure terminal 
Password: pixfirewall(conf1ig)# 
pixfirewallH pixfirewall(config)# 
pixfirewallt _ pixfirewall(config)# _ 


E CETTE EE [EEC 


图 10-23 进入 特权 模式 图 10-24 进入 配置 模式 


(3) 在 配置 模式 下 输入 interface e0 (进入 e0 接口 ) 命令 ， 并 按 回 车 键 ， 如 图 10-25 所 示 。 
(4) 在 接口 模式 下 输入 speed auto (配置 e0 接口 为 自 适应 接口 ) 命令 ， 并 按 回 车 键 ， 如 
10-26 所 示 。 


4001 -起 般 终 汉 

文件 中 鼎 弹 名 查 者 加 0 CC) 传 过 CO) 间 助 0 
口 态 合 了 器 多 

Password: 

pixfirewall## 

pixfirewall# configure terminal 
pixfirewalll{ config) 


4001 -超级 终端 

文件 中) 蝙 窒 加 查看 中 品川 尼 ) 传送 开 ) 帮助 0 
口感 襄 坟 四 召 欠 

pixfirewall> 


pixfirewal}> 
pixtirewall(config)# 


pixfirewall(config)# interface eg 
pixfirewalllconfig-if)# speed auto 
pixfirewall(config-i 
pixfirewall(config-if)# 
pixfirewall(config-if)# 


pixfirewall(config)# 
pinfirewall{ confioN interface e@ 
pixfirewall{lconfig-i 


< 
已 入 接 0.55 .3 自动 位 测 TEA 


已 入 按 0: 55: 5: 自动 愉 测 。 TCFAIF 
图 10-25 进入 e0 接口 图 10-26 配置 e0 接口 为 自 适应 接口 
(5) 在 接口 模式 下 输入 nameif inside (配置 e0 接口 为 内 网 接口 ) 命令 ， 并 按 回 车 键 ， 如 


图 10-27 所 示 。 
(6) 在 接口 模式 下 输入 security-level 100 (配置 inside 接口 安全 级 别 为 100) 命令 ， 并 按 


第 Os 


Cisco PIX 防火 墙 


回 车 键 ， 如 图 10-28 所 示 。 


超级 终 册 


Er 

DD 区 写 和 S 四 避 字 
pixfirewall(config)# 
pixfirewall(config)# 
pixtirewall(config)# interface eg 
pIx+Irewal1(COonfT19-1 十 ] 桂 
pixfirewall(conf: TF speed auto 


文件 中 入 回 旭 理 看 中 叶 C) 仿 迁 ) 进 助 0 
口 咏 言及 洒 百 具 
pixfirewall(config-if)# 
pixfirewall(config-if)# 

pixfirewall(config-if)# 

pixfirewall(config-if)# nameif inside 
pixfirewall(config-1f)# security-level 108 
pixfirewall(config-if)# 

pixfirewall(config-if)# 

pixfirewall(config-if)# 


pixfirewall{ conf 
pixfirewall{conf ee 
naneif inside 
提 


< 
已 入 按 0.55 4 自动 位 避 ”TAI 


< 
ETEYTETT R73 


图 10-27 配置 e0 接口 为 内 网 接口 图 10-28 ”配置 inside 接口 安全 级 别 


(7) 在 接口 模式 下 输入 ip address 192.168.1.1 255.255.255.0 (配置 e0 接口 了 地 址 ) 命令 ， 
并 按 回 车 键 ， 如 图 10-29 所 示 。 
(8) 在 接口 模式 下 输入 interface el (进入 el 接口 ) 命令 ， 并 按 回 车 键 ， 如 图 10-30 所 示 。 


4001 ”起 统 终 并 对 站 民 4001 ”起 令 终 痪 
文件 四 六 辑 虽 查看 WO 叶 oC) 传送 他 帮 肌 0 文件 四 笑 重 虽 本 看 中 呀 0 C) 传送 加 才 及 0 
DD 世人 访 多 心 加 馈 吕 咏 写 人 上 召回 
pixfirewall(config-if)# Speed auto pixfirewall(config-if)# 
pixfirewall(config-if)# security-level 160 pixtirewal}lconfig ft 
pixtirewall(config-if)t pixfirewall(config-if)# 
pixfirewall(config-if)# pixfirewall(config-if)# ip add 192.168.10.1 2: 
pixfirewall(config-if)# ip add 192.168.10.1 pixfirewall(config-if)# 

255.255.255.0 pixfirewalllconfig- i 
pixtirewalllconfig-if)# pixfirewall (config-i Hs interface el 
pixfirewall(config-if)# _ pixfirewalllconfig-1f)# 


< 3‘ 
各 妆 上 到 :4 自动 居 测 IPAI 本 LO: 自动 改 测 。TPIT 


图 10-29 配置 e0 接口 人 P 地 址 图 10-30 进入 el 接口 


(9) 在 接口 模式 下 输入 speed auto( 配 置 el 接口 为 自 适应 接口 ) 命令 ， 并 按 回 车 键 ， 如 
图 10-31 所 示 。 

(10) 在 接口 模式 下 输入 nameif outside (配置 el 接口 为 外 网 接口 ) 命令 ， 并 按 
如 图 10-32 所 示 。 


起 纹 终 泥 回 a001 

文件 @@) 编辑 也 ) 查看 四 叫 WC) 传送 党) 项 助 0D ETIETTTEETIICTISE=ETIETTT 
口 态 局 等 DO 牟 祝 口 肪 DE 锯 
pixfirewall(config- if )# pixfirewall(confi 


pixfirewajjfconfi 由 pixfirewalllconfi speed auto 
pixfirewall(config-if)# interface el pixfirewall(confi 


Ee] 


车 键 ， 


pixfirewall(lconfig-if)# pixfirewall(confi 
pixfirewall(config-if)# pixfirewall(confi nameif outside 
pixfirewall(config-if)# speed auto pixfirewalllconfi 
pixfirewall(config-if)t pixfirewall(config-i a 


< 
已 各 接 105: 从 自动 位 证。 蕊 FI 二 EE 已 这 接 1.03.<< 自动 入 测 ”TEP/Ir 


图 10-31 配置 el 接口 为 自 适应 接口 10-32 配置 el 接口 为 外 网 接口 


(11) 在 接口 模式 下 输入 security-level 0〈 配 置 outside 接口 安全 级 别 为 0) 命令 ， 并 按 回 
车 键 ， 如 图 10-33 所 示 。 
(12) 在 接口 模式 下 输入 ip address 219.140.164.26 255.255.255.0 命令 ， 并 按 回 车 键 ， 如 图 
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10-34 所 示 。 


4001 - 超 航 终端 
ET 
口 咏 写 仿 六 犁 多 


4001 -起 豚 兴 党 
文件 四 蜀 竹 四 可 看 中 时 川 C) 传 去 加 ) 帮助 
口 态 伟人 及 洒 召 要 


pixfirewall(config-if)# interface el 
pixfirewall(config-1f)# 
pixtirewall(config- i 
pixfirewall(config-1f)# 
pixfirewall(config-ifj# security-level 9 
pixfirewall(config-if)# 
pixfirewall(config-if)# 


pixfirewall(config-if)# interface el 

pixtirewall(contig-1t+)# 

pixfirewall(config-if)# 

四 Tirewall(config-if)# security-level 0 
firewall( config-: 

piyrirewellt contio- if)# ipaddress 219 140 16& 26 

255.255.255.0 

pixfirewall(config-if)# 


< 
局 连接 ,07 <* 自动 愉 测 ”TP/IF 


图 10-33 配置 e0 接口 安全 级 别 


图 10-34 配置 el 接口 卫 地 址 


(13) 在 接口 模式 下 输入 exit (退出 接口 模式 ) 命令 ， 并 按 回 车 键 ， 如 图 10-35 所 示 。 
(14) 在 配置 模式 下 输入 nat (inside) 100〔〈 指 定 转换 的 内 部 地 址 ) 命令 ， 并 按 回 车 键 ， 如 


10-36 所 示 。 


4001 ”起 令 余 端 
文件 全 病句 凶 下 者) 嘻 叶 5) 信 渤 红 ) 加 有 00 
入 站 召回 


rewall(config-if)# 
1 ig-if)# ip address 219.140.16, 
Difirewall( EonFio- 下] 
pixfirewall(config-if)# 
pixfirewall(config-if)# 
pixfirewall(config- i exit 
pixfirewalllconfig)# 


4001 - 起 级 终端 回避 
ETIICTIIETIOECTEEEIEEII 
D 咏 全 入 站 召回 
pixfirewaII{conFIg 了 
Bixfirewall(config) 
pixfirewall(config)t 
pixfirewall(config)t 
pixfirewall config} not (inside) 100 
pixfirewall(config)tt 


< 
已 这 接 (1. 叶 自动 欠 测 TET/IP 


图 10-35 退出 接口 模式 


< 
已 演 按 1.13; 自动 入 出 ”TEP/Ir 


图 10-36 ”指定 内 部 转换 地 址 


(15) 在 配置 模式 下 输入 global (outside) 1 219.140.164.27-219.14.164.30 netmask 
255.255.255.0 〈 配 置地 址 池 ) 命令 ， 并 按 回 车 键 ， 如 图 10-37 所 示 。 


4001 - 超级 终 冯 


文件 四) 世 独 四 查看 中 叶 HMM 人 C) 信 适 了 ) 帮助 0) 


[a 


rewall {gonf gs 
rewall (contig)# 


rewall (config)# 
pixfirenall (config) olobal (outside) 1 2 


16. 140. 164 27-216. 140. 164 30 netmask 255. 255 255 0 
pixfirewall (config)# 
pixfirewall (config)# 
pixfirewall (config)# 
pixfirewall (config)# 


入 六 1:27: 当 自动 位 出 ”TF/IF 


图 10-37 配置 地 址 池 


.| 1 。 双 和 性 


随 着 个 人 、 机 构 日 益 依赖 于 Internet 进行 通信 、 协 作 及 销售 ， 对 安全 解决 方案 的 需求 急剧 
增长 。 据 统计 ， 全 球 80% 以 上 的 入 侵 来 自 于 内 部 。 由 于 性 能 的 限制 ， 防 火 墙 通常 不 能 提供 实时 的 
入 侵 检测 能 力 ， 对 于 企业 内 部 人 员 所 做 的 攻击 ， 防 火 墙 形同虚设 。 

入 侵 检测 系统 针对 防火 墙 做 了 有 益 的 补充 ， 能 够 在 入 侵 攻击 对 系统 发 生 危 害 前 ， 检 测 到 
入 侵 攻 击 ， 并 利用 报警 与 防护 系统 驱逐 入 侵 攻 击 ; 在 入 侵 攻击 过 程 中 ， 能 减少 入 侵 攻 击 所 造 
成 的 损失 ;， 在 被 入 侵 攻 击 后 ， 收 集 入 侵 攻 击 的 相关 信息 ， 作 为 防范 系统 的 知识 ， 添 加 到 知识 
库 内 ， 增 强 系统 的 防范 能 力 ， 避 免 系统 再 次 受到 入 侵 。 所 以 ， 也 被 认为 是 防火 墙 之 后 的 第 二 
道 安全 闻 门 ， 在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监听 ， 从 而 提供 对 内 部 攻击 、 外 部 攻 
击 和 误 操作 的 实时 保护 ， 大 大 提高 网 络 的 安全 性 。 

本 章 对 入 侵 检测 系统 的 概念 、 系 统 分 类 、 应 用 时 的 检测 方式 及 发 展 方向 进行 阐述 ， 以 便 
网 络 用 户 方便 快捷 的 使 用 。 


> 了 解 IDS 基本 概念 和 系统 分 类 掌握 IDS 的 检测 方式 
> 熟悉 IDS 的 应 用 
> 了 解 IDS 的 发 展 方向 


11.1 1DS 的 概述 


入 侵 检测 系统 (Intrusion Detection Systems，IDS)， 是 按照 一 定 的 安全 策略 对 网 络 、 系 统 
的 运行 状况 进行 监视 ， 尽 可 能 发 现 各 种 攻击 企图 、 攻 击 行为 或 攻击 结果 ， 以 保证 网 络 系统 资 
源 的 机 密 性 、 完 整 性 和 可 用 性 。 


11.1.1 IDS 的 基本 概念 


在 信息 技术 广泛 应 用 于 各 个 行业 的 同时 ， 信 息 安全 也 便 成 为 目前 迫切 需要 解决 的 问题 。 
从 传统 的 信息 安全 来 看 ， 采 用 严格 的 访问 控制 和 数据 加 密 策 略 来 防护 ， 虽 然 在 一 定时 间 内 取 
得 了 明显 的 效果 ， 但 在 复杂 系统 中 ， 采 用 这 些 策略 明显 是 不 充分 的 。 确 切 来 讲 ， 它 们 是 系统 
安全 不 可 缺 的 部 分 ， 但 不 能 完全 保证 系统 的 安全 。 

在 信息 安全 的 发 展 历程 中 ， 实 现 对 入 侵 行为 的 检测 技术 渐渐 被 人 们 重视 ， 且 网 络 管理 专 
家 们 要 求 有 一 种 设备 ， 能 够 通过 从 计算 机 网 络 的 若干 个 重要 位 置 收集 信息 并 进行 分 析 ， 从 中 


发 现 网 络 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 ， 这 种 设备 就 是 现在 人 们 普遍 使 用 的 
入 侵 检测 系统 。 

它 可 以 说 是 防火 墙 系统 的 合理 补充 和 延伸 。 如 果 说 防火 墙 是 第 一 道 安全 闸门 ， 入 侵 检测 
系统 则 可 以 说 是 第 二 道 安全 闸门 ， 能 够 在 不 影响 网 络 性 能 的 前 提 下 ， 实 时 、 动 态 地 保护 来 自 
内 部 和 外 部 的 各 种 攻击 ， 同 时 有 效 地 弥补 防火 墙 所 能 达到 的 防护 极限 。 

通常 入 侵 检测 系统 为 了 分 析 、 判 断 特定 行为 或 者 事件 是 否 为 违反 安全 策略 的 异常 行为 或 
者 攻击 行为 ， 需 要 经 过 信息 收集 、 信 息 分 析 、 事 件 报警 /响应 3 个 阶段 ， 如 图 11-1 所 示 。 


图 11-1 入 侵 检测 系统 工作 流程 图 


信息 收集 包括 收集 系统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 。 而 且 ， 需 要 在 计算 机 网 
络 中 的 不 同位 置 〈 不 同 网 段 和 不 同 计算 机 ) 收集 信息 ， 这 除了 尽 可 能 扩大 检测 范围 的 因素 外 ， 
还 可 以 对 来 自 不 同 源 的 信息 进行 特征 分 析 比 较 ， 得 出 问题 所 在 的 因素 。 

另外 ， 入 侵 检测 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 ， 所 以 ， 很 有 必要 只 利用 
所 知道 的 真正 的 和 精确 的 软件 来 报告 这 些 信 息 。 由 于 黑客 经 常 蔡 换 软件 以 移 走 这 些 信息 ， 例 
如 ， 蔡 换 被 程序 调用 的 子 程序 、 记 录 文 件 和 其 他 工具 ; 对 系统 的 修改 可 能 使 系统 功能 失常 但 
仍 和 正常 的 一 样 ， 例 如 ，UNIX 系统 的 PS 〈 查 看 系统 进程 ) 指令 可 以 被 蔡 换 为 一 个 不 显示 入 
侵 过 程 的 指令 ,或 者 是 编辑 器 被 葵 换 成 一 个 读 取 不 同 于 指定 文件 的 文件 (黑客 隐藏 了 初始 文 
件 并 用 另 一 版 本 代替 ) 。 因 此 ， 这 就 需要 保证 用 来 检测 网 络 系统 的 软件 的 完整 性 ， 特 别 是 入 
侵 检测 系统 软件 本 身 应 具有 相当 强 的 坚固 性 ， 从 而 防止 被 算 改 而 收集 到 错误 的 信息 。 入 侵 检 
测 利用 的 信息 一 般 来 自 以 下 3 个 方面 这 里 不 包括 物理 形式 的 入 侵 信 息 )。 

口 系统 和 网 络 日 志文 件 

黑客 经 常 在 系统 日 志文 件 中 留 下 他 们 的 踪迹 ， 因 此 可 充分 利用 系统 和 网 络 日 志文 件 信息 。 
日 志 中 包含 发 生 在 系统 和 网 络 上 的 不 寻常 活动 的 证 据 ， 这 些 证 据 可 证 明 有 人 正在 入 侵 或 已 成 
功 入 侵 系 统 。 通 过 查看 日 志文 件 ， 能 够 发 现成 功 的 入 侵 或 入 侵 企 图 ， 并 很 快 地 启动 相应 的 应 
急 响 应 程序 。 另 外 ， 日 志文 件 中 还 记录 了 各 种 行为 类 型 ， 每 种 类 型 又 包含 不 同 的 信息 ， 例 如 ， 
记录 “用 户 活 动 类 型 ”的 日 志 就 包含 登录 、 用 户 ID 改变 、 用 户 对 文件 的 访问 、 授 权 和 认证 信 
息 等 内 容 。 很 显然 地 ， 对 用 户 活动 来 讲 ， 不 正常 的 或 不 期 望 的 行为 就 是 重复 登录 失败 、 登 录 
到 不 期 望 的 位 置 以 及 非 授权 的 企图 访问 重要 文件 等 。 

口 非 正 常 的 目录 和 文件 

网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ， 它 们 经 常 是 黑客 修改 或 破坏 的 目标 。 


目录 和 文件 中 非 正常 改变 〈 如 修改 、 创 建 和 删除 )， 特 别 是 那些 正常 情况 下 限制 访问 的 ， 很 可 
能 就 是 一 种 入 侵 产生 的 指示 和 信号 。 通 常 黑 客 会 蔡 换 、 修 改 和 破坏 他 们 获得 访问 权 的 系统 上 
的 文件 ， 同 时 为 了 隐藏 系统 中 他 们 的 表现 及 活动 痕迹 ， 都 会 尽力 去 蔡 换 系统 程序 或 修改 系统 
日 志文 件 。 

口 执行 非 正 常 的 程序 

网 络 系统 上 执行 的 程序 ， 一 般 包 括 操作 系统 、 网 络 服务 、 用 户 启 动 的 程序 和 特定 目的 的 
应 用 ， 如 Web 服务 器 。 一 般 ， 每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 实现 ， 一 个 进程 的 
执行 行为 由 它 运行 时 执行 的 操作 来 表现 ， 操 作 执行 的 方式 不 同 ， 它 利用 的 系统 资源 也 就 不 同 。 
操作 包括 计算 、 文 件 传输 、 设 备 和 其 他 进程 ， 以 及 与 网 络 中 其 他 进程 的 通信 。 

一 个 进程 出 现 了 不 期 望 的 行为 ， 可 能 表明 黑客 正在 入 侵 系统 ， 并 且 会 将 程序 或 服务 的 运 
行 分 解 ， 从 而 导致 失败 ， 或 者 是 以 非 用 户 或 管理 员 意图 的 方式 操作 。 


对 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 ， 一 般 可 通过 模式 匹 
配 、 统 计 分 析 和 完整 性 分 析 3 种 技术 手段 进行 分 析 。 其 中 前 两 种 方法 用 于 实时 的 入 侵 检测 ， 
而 完整 性 分 析 则 用 于 事后 分 析 。 

口 模式 匹配 

模式 匹配 就 是 将 收集 到 的 信息 ， 与 已 知 的 网 络 入 侵 和 系统 已 有 模式 数据 库 进行 比较 ， 从 
而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 〈 如 通过 字符 串 匹配 以 寻找 一 个 简单 的 条 目 
或 指令 )， 也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 

一 般 来 讲 ， 一 种 进攻 模式 可 以 用 一 个 过 程 ( 如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 权限 》 
来 表示 。 该 方法 的 一 大 优点 是 只 需 收集 相关 的 数据 集合 ， 显 著 减 少 系统 负担 ， 且 技术 已 相当 
成 熟 。 它 与 病毒 防火 墙 采用 的 方法 一 样 ， 检 测 准 确 率 和 效率 都 相当 高 。 但 是 ， 该 方法 存在 的 
弱点 是 需要 不 断 地 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ， 不 能 检测 到 从 未 出 现 过 的 新 黑客 攻 
击 手 段 。 

口 统计 分 析 

统计 分 析 方 式 首先 给 系统 对 象 ( 如 用 户 、 文 件 、 目 录 和 设备 等 ) 创建 一 个 统计 描述 ， 统 
计 正 常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 )。 其 比较 过 程 与 模式 匹 
配 有 些 相似 ， 测 量 属性 的 平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ， 任 何在 正常 值 范 围 
之 外 的 观察 值 ， 就 认为 有 入 侵 发 生 。 例 如 ， 本 应 该 使 用 默认 GUEST (来 宾 ) 账号 登录 的 ， 却 
用 ADMINI (管理 员 ) 账号 登录 。 

该 分 析 方 式 的 优点 是 可 检测 到 未 知 的 入 侵 和 较为 复杂 的 入 侵 ， 缺 点 是 误 报 、 漏 报 率 高 ， 
且 不 适应 用 户 正 常 行为 的 突然 改变 。 具 体 的 统计 分 析 方 法 如 基于 专家 系统 的 、 基 于 模型 推理 
的 和 基于 神经 网 络 的 分 析 方 法 ， 但 目前 正 处 于 研究 热点 和 迅速 发 展 之 中 。 

口 完整 性 分 析 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 ， 这 经 常 包 括 文件 和 目录 的 内 容 及 属性 ， 
它 在 发 现 被 更 改 的 、 被 特洛伊 化 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 利 用 强 有 力 的 加 密 机 
制 ， 称 为 消息 摘要 函数 (例如 MD5)， 能 够 识别 微小 的 变化 。 

其 优点 是 不 管 模式 匹配 方法 和 统计 分 析 方法 能 否 发 现 入 侵 ， 只 要 因为 成 功 的 攻击 导致 了 


文件 或 其 他 对 象 的 任何 改变 ， 它 都 能 够 发 现 。 缺 点 是 一 般 以 批 处 理 方式 实现 ， 用 于 事后 分 析 
而 不 用 于 实时 响应 。 尽 管 如 此 ， 完 整 性 检测 方法 还 应 该 是 网 络 安全 产品 的 必要 手段 之 一 。 例 
如 ， 可 以 在 每 一 天 的 某 个 特定 时 间 内 开启 完整 性 分 析 模块 ， 对 网 络 系统 进行 全 面 的 扫描 检查 。 


当 IDS 一 旦 检测 到 了 攻击 行为 ，IDS 的 响应 模块 就 提供 多 种 选项 以 通知 、 报 警 并 对 攻击 
采取 相应 的 反应 ， 通 常 都 包括 通知 管理 员 、 记 录 在 数据 库 。 


11.1.2 1IDS 基本 组 成 


IDS 进行 信息 收集 、 分 析 及 事件 报警 /响应 时 ， 主 要 由 对 网 络 数据 进行 监听 的 网 络 传感器 
(Sensor); 通知 管理 员 这 些 数据 包 的 警报 系统 ， 显示 这 些 警 报 的 命令 控制 板 ; 在 可 能 的 入 侵 发 
生 时 可 以 自动 采取 对 策 的 响应 系统 ; IDS 用 于 标识 通信 的 功能 攻击 签名 或 者 行为 的 数据 库 , 并 
借 此 采取 对 策 这 些 组 件 来 完成 ， 同 时 它们 都 是 IDS 基本 组 成 部 分 。 


网 络 传感器 就 好 像 是 入 侵 检测 系统 的 “眼睛 ”。 类 似 连接 到 门 上 的 开关 ， 或 者 是 一 个 粘 在 
玻璃 窗 上 的 金属 条 ， 当 门 被 打开 或 者 玻璃 破裂 时 ， 就 会 发 出 警报 (除非 禁用 或 者 关闭 了 该 
系统 )。 

由 于 性 能 和 安全 等 方面 的 需求 ， 现 在 的 传感器 多 采用 专用 的 设备 来 实现 ， 它 的 一 块 网 卡 
通过 混杂 模式 连接 在 被 检测 的 网 段 上 负责 收集 网 络 数据 包 ; 另 一 块 网 卡 用 于 管理 ， 其 他 模块 
负责 分 析 和 处 理 数据 包 。 

另外 ， 入 侵 检测 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 ， 所 以 用 于 信息 收集 的 传 
感 器 需要 在 网 络 系统 中 的 若干 不 同 网 段 关键 位 置 进行 收集 , 如 图 11-2 所 示 。 然 后, 再 根据 IDS 
收集 的 信息 进一步 分 析 并 作出 反应 。 
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11-2 IDS 基本 结构 示意 图 


当 特 定 类 型 的 事件 发 生 时 ， 如 窗户 破裂 或 者 门 被 打开 ， 家 庭 的 防盗 警报 器 系统 就 会 发 出 
警报 声音 。IDS 的 工作 方式 非常 相似 ， 当 它 遇 到 可 疑 的 数据 包 或 者 通信 模式 时 ， 就 会 发 出 声音 
或 者 发 送 和 警报。 响应 这 样 的 事件 时 ，IDS 使 用 的 是 触发 器 ， 可 以 使 警报 发 出 的 一 组 情形 。 警 报 
消息 可 以 采取 很 多 形式 ， 如 弹出 式 窗口 、 电 子 邮 件 消息 、 声 音 或 者 发 送 到 寻呼机 的 消息 。 

可 以 引发 警报 的 触发 器 有 两 种 类 型 : 异常 检测 和 滥用 检测 。 下 面 将 分 别 讨论 这 两 种 触 
发 器 。 

口 异常 检测 

当 系统 检测 到 的 事件 与 已 定义 为 “正常 ”的 行为 不 一 致 时 ， 它 就 会 发 出 警报 。 这 有 时 被 
称 为 基于 配置 文件 的 检测 ， 因 为 它 将 当前 的 网 络 通信 与 正常 网 络 用 法 的 配置 文件 相 比 较 。 如 
果 特 别 关心 来 自 机 构 内 部 的 网 络 滥用 情况 ， 或 者 想 监视 所 有 出 入 电子 邮件 、Web 和 FTP 服务 
器 的 通信 ， 就 可 以 使 用 异常 检测 。 

异常 检测 系统 要 求 以 上 系统 的 每 个 授权 用 户 或 组 织 都 使 用 配置 文件 。 这 些 配置 文件 是 特 
性 的 集合 ， 描 述 用 户 通常 在 网 络 上 访问 的 服务 器 和 资源 。 有 些 IDS 系统 具有 在 “训练 期 间 ”， 
即 IDS 在 此 期 间 监视 网 络 通信 ， 观 察 什么 构成 了 “正常 ”的 网 络 行为 。 自 己 创 建 用 户 配 置 文 
件 的 能 力 。 否 则 ， 就 需要 用 户 亲自 创建 配置 文件 。 由 于 大 型 公司 网 络 可 能 由 分 成 多 个 组 的 几 
百 个 甚至 几 千 个 用 户 组 成 ， 因 此 配置 文件 的 配置 是 一 个 相当 费时 的 工作 。 

IDS 使 用 的 配置 文件 的 准确 性 对 于 它 检测 来 自 这 些 配置 文件 的 异常 情况 的 有 效 性 有 着 直 
接 的 影响 。 如 果 配 置 文件 准确 的 话 , IDS 将 只 对 真正 的 攻击 发 出 警报 。 如 果 配置 不 完整 或 者 不 
准确 ， 那 么 将 发 送 结果 是 假 阳性 的 警报 : 由 合法 网 络 通信 而 非 真正 攻击 生成 的 警报 。 它 们 还 
会 在 公司 的 员工 中 间 引 起 不 必要 的 惊慌 ， 如 果 这 样 的 警报 发 生得 太 频繁 ， 员 工 可 能 就 不 再 认 
真 地 对 待 它们 。 用 户 配 置 的 基于 异常 的 IDS 需要 具有 足够 准确 的 配置 文件 ， 使 假 阳性 警报 减 
至 最 低 限度 ， 甚 至 将 它们 完全 消除 。 另 外 ， 还 需要 足够 准确 的 IDS， 以 免 出 现 假 阴性 警报 : 真 
正 的 攻击 已 经 发 生 ， 但 是 由 于 没有 针对 它们 的 配置 文件 ， 以 至 于 IDS 检测 不 到 它们 。 

口 滥用 检测 

滥用 检测 在 响应 滥用 时 发 出 警报 的 IDS 将 使 用 签名 ， 签 名 是 匹配 已 知 攻击 示例 的 特性 的 
集合 。 如 果 有 时 间 和 能 力 〈 或 许 还 需要 有 软件 ) 了 解 由 这 样 的 系统 生成 的 大 量 日 志文 件 ， 就 
可 以 选择 滥用 检测 。 如 果 机 构想 使 用 基本 的 IDS， 并 且 主 要 关心 的 是 试图 从 Intermet 上 访问 主 
机 的 黑客 发 起 的 已 知 攻击 ， 那 么 就 应 当选 择 基 于 滥用 的 系统 ， 并 定期 更 新 系统 的 签名 。 

基于 异常 的 检测 触发 警报 时 ， 其 根据 是 与 公司 内 部 用 户 或 者 组 织 的 “正常 ”网 络 行为 不 
相 一 致 的 情况 ， 而 滥用 检测 是 基于 来 自 公 司 外 部 的 已 知 攻击 的 特性 签名 触发 警报 。 配 置 IDS 
的 网 络 工程 师 要 研究 众所周知 的 攻击 ， 并 记录 与 每 个 签名 有 关 的 规则 。 然 后 把 这 样 签名 的 数 
据 库 用 于 IDS。 由 于 IDS 配 图 有 一 组 签名 ， 因 此 在 安装 之 后 ， 它 就 可 以 立即 开始 保护 网 络 。 
这 与 基于 异常 的 IDS 不 同 ， 在 它 开始 保护 网 络 之 前 ， 必 须 对 它 进行 训练 ， 使 它 认 识 “ 正 常 ” 
的 网 络 通信 。 


命令 控制 台 是 一 种 软件 ， 它 向 管理 员 提供 到 IDS 的 图 形 前 端 接口 。 该 控制 台 使 管理 员 可 


以 接收 和 分 析 警 报 消息 ， 以 及 管理 日 志文 件 。 在 部 署 了 一 个 以 上 IDS 的 大 型 网 络 中 ， 单 个 控 
制 台 可 以 让 管理 员 跟 上 大 量 的 事件 ， 以 便 快 速 响应 并 采取 对 策 。 

如 Symantec Man Hunt (www.symantec.com) 或 者 Cisco IDS Host Sensor 这 样 的 程序 可 以 
提供 单个 接口 ， 以 查看 当前 发 生 的 安全 事件 ， 或 者 查看 最 近 发 生 的 警报 或 入 侵 企 图 ， 以 便 在 
比较 时 使 用 。 

用 户 可 以 按照 和 防火 墙 差不多 的 方法 设置 IDS 的 安全 策略 。IDS 可 以 从 整个 网 络 中 与 命 
令 控制 台 相连 的 安全 设备 收集 信息 ， 在 命令 控制 台 可 以 检查 和 评估 这 些 安全 设备 。 为 了 使 响 
应 速度 最 快 ， 通 常 将 命令 控制 台 安装 在 专用 于 IDS 的 计算 机 上 。 由 于 在 检测 可 疑 的 事件 时 ， 
命令 控制 台 设备 的 宿主 计算 机 忙于 备份 文件 或 者 执行 防火 墙 功能 ， 所 以 它 应 当 快 速 进行 响应 。 


当 检 测 到 入 侵 时 ， 有 些 比 较 高 级 的 IDS 可 以 设置 成 采取 一 些 对 策 ， 如 复位 所 有 的 网 络 连 
接 。 当 检测 到 攻击 时 ， 不 应 当 将 此 代替 网 络 管理 员 采 取 适 当 的 对 策 。 管 理 员 可 以 用 自己 的 判 
断 来 确定 警报 是 由 假 阳性 攻击 还 是 真正 的 攻击 〈 有 时 被 称 为 真 阳性 攻击 ) 触发 的 。 如 果 攻击 
是 真 的 ， 管 理 员 的 判断 还 可 用 于 估计 攻击 的 严重 性 ， 并 确定 是 否 应 当 升 级 〈 升 级 即 提高 到 更 
高 的 级 别 ) 响应 。 


网 络 管理 员 在 评估 安全 警报 时 才 可 以 运用 判断 能 力 ， 而 入 侵 检测 系统 没有 判断 力 。 因 为 
它们 需要 信息 源 ， 然 后 赁 此 来 比较 它们 监视 的 通信 。 基 于 滥用 的 系统 要 求 有 已 知 攻击 签名 的 
数据 库 ， 如果 传感器 检测 到 的 一 个 数据 包 或 者 一 系列 数据 包 与 其 中 的 一 个 签名 相 匹 配 ， 它 就 
会 发 出 警报 。 

攻击 签名 数据 库 的 关键 在 于 它们 一 直 保 持 最 新 状态 ， 如 果 新 型 的 攻击 没有 添加 到 系统 的 
可 用 签名 中 ， 这 种 攻击 很 快 就 可 以 击败 IDS。IDS 供应 商 应 当 为 用 户 提供 一 种 方法 ， 使 用 户 可 
以 下 载 新 的 条 目 ， 从 而 将 它们 添加 到 数据 库 中 。 而 只 依赖 于 签名 的 系统 的 问题 在 于 它们 是 被 
动 的 ， 它 们 监视 通信 ， 将 通信 与 数据 库 进 行 比较 ， 每 当 数 据 包 匹 配 可 用 的 签名 时 就 发 出 警报 ， 
但 是 这 将 产生 大 量 的 假 阳性 警报 。 大 多 数 IDS 都 允许 管理 员 将 他 们 自己 的 自 定 义 规则 添加 到 
数据 库 中 ， 以 减少 “ 假 警报 ”的 数量 ， 承 认 克服 这 样 的 被 动 性 。 

IDS 的 异常 检测 方法 也 使 用 存储 信息 的 数据 库 ， 以 此 来 比较 网 络 通信 。 例 如 ，Securify 公 
司 的 SecurVantage3.0 每 过 一 段 特定 的 时 间 就 对 认为 是 “正常 ”的 网 络 通信 进行 扫描 。 因 为 
SecurVantage 开发 了 一 组 策略 ， 描 述 谁 通常 可 以 使 用 网 络 设备 ， 以 及 如 何 使 用 设备 ， 并 且 出 现 
任何 与 这 组 收集 的 策略 不 一 致 的 情况 都 将 触发 警报 。 


11.1.3 IDS 提供 的 信息 


入 侵 检 测 系统 只 能 报告 那些 为 它 配置 好 的 应 报告 的 内 容 。 IDS 配置 中 包含 两 个 部 分 : 第 一 
部 分 是 已 经 编译 在 系统 中 的 攻击 特征 ， 第 二 部 分 是 管理 员 发 现 的 需要 注意 的 任何 例外 事件 。 
这 可 能 包括 某 种 类 型 的 通信 数据 或 某 种 类 型 的 日 志 消 息 。 

对 于 预先 编译 的 特征 ,厂商 或 系统 的 开发 人 员 加 入 了 他 们 自己 对 这 些 事件 重要 性 的 理解 。 


对 于 特定 机 构 而 言 ， 这 些 事件 的 重要 性 或 许 与 制造 商 所 指定 的 有 很 大 不 同 。 因 此 可 能 需要 修 
改 一 些 特征 的 默认 优先 级 设置 ， 或 者 关 掉 一 些 对 机 构 不 适用 的 特征 。 

假设 IDS 配置 正确 ， 那 么 IDS 会 显示 侦察 事件 、 攻 击 事件 、 策 略 违反 事件 、 可 疑 事件 及 
无 法 解释 的 事件 这 些 信 息 。 


侦察 事件 是 攻击 者 在 实际 攻击 之 前 ， 收 集 有 关系 统 信息 的 企图 。 这 些 事件 可 以 分 为 5 类 。 

口 盗窃 性 扫描 

盗窃 性 扫描 是 以 保护 源 系统 不 被 发 现 的 方式 ， 找 出 网 络 中 现 有 系统 的 企图 。 在 基于 网 络 
的 IDS 检测 器 上 , 这 种 类 型 的 扫描 可 能 显示 为 IP 半 扫描 或 耳 盗窃 性 扫描 , 它 一 般 针对 的 是 大 
量 卫 地 址 。 对 这 种 扫描 的 响应 是 找 出 源 并 通知 源 系统 〈 很 可 能 是 被 攻击 的 系统 ) 的 所 有 者 。 

口 端口 扫描 

端口 扫描 用 于 找 出 网 络 上 的 系统 所 提供 的 服务 。 当 一 个 系统 上 的 几 个 端口 在 短 时 间 内 被 
打开 时 ,HIDS 可 以 发 现 端口 扫描 。 而 基于 网 络 的 IDS 检测 器 和 一 些 基于 混合 式 的 IDS 检测 器 
不 仅 可 以 发 现 端口 扫描 ， 而 且 还 会 将 其 作为 端口 扫描 事件 来 报告 。 对 这 种 扫描 的 响应 与 对 盗 
窃 性 扫描 的 响应 一 样 。 

口 特洛伊 木马 扫描 

特洛伊 木马 有 很 多 种 。 基 于 网 络 的 IDS 检测 器 具有 可 以 识别 多 种 特洛伊 木马 的 特征 。 遗 
憾 的 是 ， 到 达 特 洛 伊 木马 程序 的 通信 数据 ， 常 常 是 通过 数据 包 的 目标 端口 来 识别 的 。 这 样 ， 
会 产生 许多 误 报 。 对 于 特洛伊 木马 事件 ， 应 该 检查 通信 数据 的 源 端口 。 例 如 来 自 端口 80 的 通 
信 数 据 ， 很 可 能 是 来 自 一 个 Web 站 点 的 回复 通信 数据 。 

最 常见 的 特洛伊 木马 扫描 类 型 是 Back Orifice。Back Orifice 使 用 端口 31337， 攻 击 者 通常 
会 在 一 个 地 址 范围 内 扫描 这 个 端口 。Back Orifice 控制 台 还 包括 一 项 ping 主机 的 功能 ， 这 个 过 
程 可 以 自动 进行 。 除 非 发 现 来 自 一 个 内 部 系统 的 通信 数据 ， 否 则 不 需要 为 此 产生 担心 。 同 样 ， 
恰当 的 响应 是 与 源 系统 的 所 有 者 进行 联系 ， 因 为 这 个 系统 很 可 能 受到 了 攻击 。 

口 薄弱 点 扫描 

在 基于 网 络 的 IDS 检测 器 上 ， 薄 弱 扫 描 表现 为 大 量 的 不 同 攻 击 特 征 。 通 常 ， 这 种 扫描 针 
对 几 个 确实 存在 的 系统 。 很 少 遇 到 针对 一 个 不 包含 活动 系统 的 地 址 范围 进行 的 薄弱 点 扫描 。 

黑客 进行 的 薄弱 点 扫描 与 由 安全 测试 公司 进行 的 薄弱 点 扫描 无 法 区 分 开发 (在 许多 情况 
下 ， 他 们 使 用 的 工具 是 相同 的 )。 在 这 两 种 情况 下 ， 扫 描 本 身 不 会 对 系统 造成 破坏 ， 但 是 如 果 
黑客 进行 了 扫描 ， 并 且 系 统 上 存在 进行 攻击 的 薄弱 点 ， 那 么 黑客 就 会 了 解 这 些 信息 。 应 该 与 
源 系 统 的 所 有 者 联系 ， 并 对 内 部 系统 进行 检查 ， 以 确保 它们 安装 了 最 新 的 补丁 程序 。 

口 文件 侦 听 

对 文件 授权 进行 侦 听 或 测试 一 般 由 内 部 用 户 进行 。 用 户 试图 找 出 哪些 文件 可 以 访问 以 及 
它们 的 内 容 是 什么 。 这 种 类 型 的 侦察 只 能 在 基于 混合 式 的 IDS 检测 器 上 显示 ， 并 且 只 有 在 系 
统 记录 未 经 授权 的 访问 企图 时 才 行 。 单 一 事件 可 能 是 无 意 的 错误 ， 但 是 如 果 反 复出 现 ， 则 应 
该 与 用 户 联系 ， 看 一 看 他 正在 做 什么 。 

这 些 事件 主要 发 生 在 网 络 上 ， 而 且 大 多 数 是 从 Internet 向 具有 外 部 地 址 的 系统 实施 的 。 侦 
察 事件 试图 获得 有 关系 统 的 信息 ， 它 们 不 能 破坏 系统 。 通 常 ， 一 些 商 业 IDS 系统 被 配置 为 侦 


察 事件 赋予 很 高 的 优先 级 。 考 虑 到 这 些 事件 不 会 破坏 系统 ， 所 以 这 种 配置 似乎 是 不 恰当 的 。 


攻击 事件 是 那些 需要 快速 响应 的 事件 。 在 理想 情况 下 ， 如 果 已 知 内 部 薄弱 点 受到 了 攻击 ， 
则 应 该 将 IDS 配置 只 找 出 具有 较 高 优先 级 的 事件 。 在 这 种 情况 下 ， 应 该 立即 实施 应 急 响应 
过 程 。 

要 注意 的 是 , IDS 无 法 知道 实际 攻击 与 看 起 来 像 攻 击 的 薄弱 点 扫描 有 何 区 别 。IDS 管理 员 
必须 评估 IDS 提供 的 信息 ， 这 样 才能 确定 这 是 否 是 真正 的 攻击 。 要 查看 的 第 一 件 事情 是 事件 
的 数量 。 如 果 在 短 时 间 内 出 现 了 对 同一 系统 的 不 同 攻击 特征 ， 那 么 这 很 可 能 是 薄弱 点 扫描 而 
不 是 真正 的 攻击 。 如 果 发 现 了 针对 一 个 或 多 个 系统 的 同一 种 攻击 特征 ， 则 可 能 是 真正 的 攻击 。 


人 


大 多 数 IDS 系统 对 于 事件 具有 如 下 的 特征 。 
口 文件 共享 ( Gnutella、Kazaa 等 )。 
口 即时 的 信使 。 
口 Telnet 会 话 。 
口 “r” 命 令 (ilogin、rsh、rexec )。 
在 大 多 数 机 构 中 ， 这 种 通信 方式 的 用 户 都 会 违反 机 构 的 策略 。 遗 憾 的 是 ， 这 种 策略 违反 
的 情况 对 于 机 构 而 言 比 受到 攻击 更 危险 。 多 数 情况 下 ， 事 件 已 经 发 生 过 。 因 此 文件 已 经 共享 ， 
或 者 系统 被 配置 允许 rlogin。 

用 户 的 机 构 响 应 各 种 违反 策略 的 情况 取决 于 机 构 的 内 部 策略 和 程序 。 但 是 至 少 系统 管理 
员 或 相关 人 员 应 该 被 告知 策略 ， 便 于 他 们 理解 机 构 的 策略 。 


不 能 明确 地 归 类 的 事件 称 为 可 颖 事件。 可 疑 事件 就 是 无 法 理解 的 事件 ,例如 , Windows NT 
服务 上 的 注册 键 被 修改 ， 但 是 没有 可 解释 的 原因 。 它 不 像 受到 了 攻击 ， 也 没有 迹象 表明 它 为 
什么 会 被 修改 。 另 一 个 例子 是 数据 包 的 题 头 标识 与 协议 标准 不 符合 。 这 是 侦察 扫描 企图 ? 还 
是 存在 出 现 故 障 网 卡 的 系统 ? 或 者 是 传输 中 出 现 了 错误 的 数据 包 ? 由 IDS 提供 的 信息 不 能 提 
供 足 够 的 信息 来 回答 这 些 问 题 ， 并 确定 事件 是 无 害 的 还 是 一 次 攻击 。 

同样 可 疑 的 是 ， 在 内 部 网 络 中 发 现 没有 预期 的 通信 数据 。 如 果 桌 面 计算 机 开始 向 其 他 系 
统 请 求 SNMP 信息 ， 那 么 这 是 一 次 攻击 还 是 系统 配置 出 现 了 错误 ? 应 该 在 资源 许可 的 范围 内 
对 可 疑 事 件 进行 调查 。 


11.2 1DS 系统 分 类 


根据 IDS 检测 对 象 和 系统 加 载 位 置 的 不 同 ， 可 将 其 分 为 基于 主机 的 IDS (HIDS)、 基 于 网 
络 的 IDS (NIDS) 和 混合 式 IDS 3 种 类 型 。HIDS 驻 留 于 特定 的 主机 上 ， 寻 找 这 台 主 机 上 受 攻 
击 的 迹象 。NIDS 在 一 个 单独 的 系统 上 监视 网 络 通信 数据 ， 寻 找 经 过 这 部 分 网 络 的 攻击 迹象 。 


混合 式 IDS 可 同时 放置 在 网 络 和 各 个 主机 上 ， 提 供 更 高 的 安全 性 。 


11.2.1 基于 主机 的 IDS 


基于 主机 的 IDS (HIDS) 是 一 种 检测 器 系统 ， 它 被 加 载 到 机 构 的 各 种 服务 器 上 ， 并 受到 
中 央 管 理 器 的 控制 。 检 测 器 可 以 查找 各 种 事件 ， 在 特定 的 服务 器 上 采取 行动 ， 或 者 发 出 通知 
信息 。HIDS 检测 器 监视 与 所 加 载 的 服务 器 相关 的 事件 。HIDS 检测 器 还 可 以 判断 一 种 攻击 是 
否 成 功 ， 因 为 攻击 发 生 在 检测 器 所 在 的 平台 上 。 

可 以 看 到 ， 不 同类 型 的 HIDS 检测 器 可 以 完成 不 同类 型 的 IDS 目标 。 并 不 是 所 有 的 检测 
器 都 适用 于 各 种 类 型 的 机 构 ， 甚 至 无 法 适用 于 同一 机 构 内 的 所 有 服务 器 。 因 此 必须 对 每 一 种 
服务 器 确认 最 合适 的 检测 器 ， 这 是 很 重要 的 。 还 必须 注意 ，HIDS 系统 可 能 成 本 要 高 于 基于 网 
络 的 系统 ， 因 为 每 一 种 服务 器 都 必须 具有 检测 器 许可 《检测 器 单位 价格 较 低 ， 但 是 数量 众多 
的 检测 器 会 导致 整体 成 本 较 高 )。 

与 HIDS 系统 相伴 的 另 一 个 问题 是 服务 器 上 的 处 理 嚣 容量。 运行 在 服务 器 上 的 检测 器 进程 
会 占用 CPU 容量 的 5% 一 15%。 如 果 检 测 器 位 于 载荷 较 大 的 系统 上 ， 就 会 影响 验证 性 能 ， 需 要 
购买 更 高 级 的 系统 。 目 前 ， 有 以 下 5 种 基本 的 HIDS 检测 器 类 型 。 


日 志 分 析 器 的 功能 是 将 HIDS 收集 并 储存 到 日 志文 件 内 的 信息 , 进行 分 析 。 当 一 个 进程 运 
行 于 服务 器 之 上 , 相对 于 监视 系统 上 正确 的 日 志文 件 , 如 果 一 个 日 志 条 目 显 示 与 HIDS 检测 器 
进程 中 的 某 些 标准 匹配 ， 就 会 发 生 某 种 动作 。 不 过 ， 大 多 数 日 志 分 析 器 配置 来 查找 指示 安全 
事件 的 日 志 条 目 。 另 外 ， 系 统管 理 员 通 常 可 以 定义 其 他 感 兴趣 的 日 志 条 目 。 

日 志 分 析 器 本 质 上 是 响应 系统 。 换 句 话说 ， 在 发 生 某 种 事件 之 后 ， 它 们 会 作出 响应 。 因 
此 其 发 出 的 通知 表示 系统 已 经 受到 了 攻击 。 在 大 多 数 情况 下 ， 日 志 分 析 器 无 法 阻止 攻击 成 功 
入 侵 系 统 。 

实际 中 ， 日 志 分 析 器 适合 于 记录 合法 用 户 在 内 部 网 络 上 的 活动 。 因 此 如 果 机 构 关注 系统 
管理 员 或 其 他 授权 用 户 的 活动 ， 日 志 分 析 器 就 可 以 记录 活动 ， 并 将 这 些 活动 记录 发 送 到 管理 
员 或 用 户 无 法 访问 的 系统 。 


这 种 检测 器 具有 一 组 内 置 的 安全 事件 特征 ， 这 些 特 征 与 输入 的 网 络 通信 或 者 日 志 条 目 对 
照 。 基 于 特征 的 检测 器 和 日 志 分 析 器 的 区 别 在 于 它 增 加 了 分 析 输 入 通信 的 功能 。 

基于 特征 的 系统 可 以 检测 出 针对 系统 的 攻击 ， 因 此 这 些 系 统 可 以 发 出 关于 攻击 的 附加 通 
知 。 但 是 ,在 HIDS 检测 器 作出 反应 之 前 ， 攻 击 可 能 成 功 ， 也 可 能 失败 ， 使 得 检测 器 也 具有 响 
应 的 特性 。 基 于 特征 的 HIDS 检测 器 也 可 以 用 于 记录 内 部 系统 上 的 授权 用 户 的 活动 。 


系统 调用 分 析 器 可 以 分 析 应 用 程序 和 操作 系统 之 间 的 调用 ， 以 确认 安全 事件 。 这 种 类 型 
的 HIDS 检测 器 在 应 用 程序 和 操作 系统 之 间 安 装 了 软件 。 当 应 用 程序 希望 执行 动作 时 , 针对 操 


作 系 统 执行 某 种 动作 的 调用 就 会 得 到 分 析 ， 并 与 特征 数据 库 比 较 。 这 些 特征 是 各 种 行为 的 范 
例 ， 这 些 行 为 指示 攻击 ， 或 者 表示 IDS 管理 员 感 兴趣 的 事件 。 

系统 调用 分 析 器 不 同 于 日 志 分 析 器 和 基于 特征 的 HIDS 检测 器 , 即 它们 可 以 阻止 动作 的 发 
生 。 如 果 应 用 程序 发 出 了 调用 匹配 缓存 溢出 的 特征 ， 检 测 器 就 可 以 阻止 这 种 动作 ， 从 而 防止 
系统 受到 攻击 。 


应 用 行为 分 析 器 类 似 于 系统 调用 分 析 器 ， 即 它们 都 实现 为 应 用 程序 和 操作 系统 之 间 的 程 
序 段 。 在 行为 分 析 器 中 ， 检 测 器 检查 调用 ， 确 认 是 否 允 许 应 用 程序 执行 动作 ， 相 反 不 会 检查 
调用 是 否 类 似 攻击 。 例 如 ， 通 常 多 许 Web 服务 器 端口 80 上 接受 网 络 连接 ， 在 Web 目录 中 读 
取 文件 , 在 端口 80 之 间 的 连接 上 发 送 文件 。 如 果 Web 服务 器 试图 从 其 他 位 置 写 入 文件 ， 读 取 
文件 ， 或 从 其 他 位 置 打开 新 的 网 络 连 接 ， 检 测 器 会 监视 不 正确 的 行为 ， 并 阻止 动作 的 发 生 。 

配置 这 些 检测 器 时 ， 必 须 创 建 每 一 种 应 用 程序 所 允许 的 动作 。 这 些 产 品 的 开发 商 具 有 适 
用 于 一 般 应 用 程序 的 模板 。 所 有 自行 开发 的 应 用 程序 必须 检查 ， 确 认 通 常 允许 它们 所 发 生 的 
动作 ， 并 编程 进入 检测 器 中 。 


文件 完整 性 检查 器 检查 文件 的 变动 。 这 可 以 通过 使 用 密码 学 校 验 或 者 数字 特征 完成 。 如 
果 初 始 文件 的 任何 变动 (包括 创建 时 间 和 大 小 的 属性 的 变化 )， 则 相应 的 特征 就 会 改变 。 人 们 
开发 了 用 于 这 个 进程 的 算法 ， 使 得 很 难 做 出 文件 修改 ， 却 留 下 了 使 用 特征 。 

根据 检测 器 初始 配置 情况 ， 被 检测 变动 情况 的 每 一 个 文件 都 通过 此 算法 运行 ， 以 创建 初 
始 特征 。 其 数字 被 存储 在 安全 的 位 置 。 每 一 个 受 监控 的 文件 都 定期 重新 计算 特征 ， 并 与 初始 
特征 比较 。 如 果 匹 配 ， 则 文件 没有 修改 。 如 果 不 匹配 ， 则 文件 已 经 被 修改 了 。 

文件 完整 性 检查 器 不 会 给 出 攻击 的 任何 指示 ， 却 详细 描述 攻击 的 结果 。 因 此 ， 如 果 Web 
服务 器 受到 攻击 ， 则 攻击 本 身 不 会 被 检测 到 ， 但 是 网 站 的 涂改 或 端点 主页 的 修改 却 会 被 检测 
到 。 其 他 类 型 的 系统 攻击 也 是 如 此 ， 因 此 许多 这 种 攻击 都 包括 对 系统 文件 的 修改 。 


11.2.2 ”基于 网 络 的 IDS 


基于 网 络 的 入 侵 检测 系统 (NIDS) 放置 在 比较 重要 的 网 段 内 ， 不 停 地 监视 网 段 中 的 各 种 
数据 包 ， 并 对 每 一 个 数据 包 进 行 特 征 分 析 。 如 果 数据 包 与 系统 内 置 的 某 些 规则 吻合 ， 入 侵 检 
测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连接 。 目 前 ， 大 部 分 入 侵 检 测 系统 是 基于 网 络 的 。 

图 11-3 展示 一 个 典型 NIDS， 一 个 传感器 被 安装 在 防火 墙 外 探查 来 自 Internet 的 攻击 。 另 
一 个 传感器 安装 在 网 络 内 部 探查 那些 已 穿 透 防火 墙 的 入 侵 和 内 部 网 络 入 侵 和 威胁 。 

基于 网 络 的 入 侵 检测 系统 ， 通 常 利 用 一 个 运行 在 随机 模式 下 的 网 络 适配器 来 实时 监视 并 
分 析 通 过 网 络 的 所 有 通信 业务 。 它 的 攻击 辨识 模块 通常 使 用 标志 模式 、 表 达 式 或 字 节 匹配 、 
频率 或 穿越 阅 值 、 低 级 事件 的 相关 性 这 4 种 常用 技术 来 识别 攻击 。 

一 旦 检测 到 了 攻击 行为 , IDS 的 响应 模块 就 提供 多 种 选项 以 通知 、 报 警 并 对 攻击 采取 相应 
的 反应 。 反 应 因 系统 而 异 ， 但 通常 都 包括 通知 管理 员 、 中 断 连 接 并 且 / 或 为 法 庭 分 析 和 证 据 收 


集 而 做 的 会 话 记录 。 
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IDS 传 感 器 
图 11-3 基于 网 络 的 检查 系统 


基于 网 络 的 IDS 之 所 以 成 为 安全 策略 的 实施 中 的 重要 组 件 ， 因 为 它 具 有 以 下 仅 靠 基于 主 
机 的 入 侵 检测 法 无 法 提供 的 优点 。 

口 检测 基于 主机 的 系统 漏 掉 的 攻击 

基于 网 络 的 IDS 检查 所 有 包 的 头 部 从 而 发 现 恶意 的 和 可 疑 的 行动 迹象 。 基 于 主机 的 IDS 
无 法 查看 包 的 头 部 ， 所 以 它 无 法 检测 到 这 一 类 型 的 攻击 。 例 如 ， 许 多 来 自 于 IP 地 址 的 拒绝 服 
务 型 和 碎片 型 攻击 只 有 在 它们 经 过 网 络 时 ， 才 可 以 在 基于 网 络 的 IDS 中 通过 实时 监测 包 流 而 
被 发 现 。 

基于 网 络 的 IDS 可 以 检查 有 效 负载 的 内 容 ， 查 找 用 于 特定 攻击 的 指令 或 语法 。 例 如 ， 通 
过 检查 数据 包 有 效 负载 可 以 查 到 黑客 软件 ， 而 使 正在 寻找 系统 漏洞 的 攻击 者 毫 无 察觉 。 由 于 
基于 主机 的 系统 不 检查 有 效 负载 ， 所 以 不 能 辨认 有 效 负载 中 所 包含 的 攻击 信息 。 

口 攻击 者 不 易 转 移 证 据 

基于 网 络 的 IDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 的 检测 ， 所 以 攻击 者 无 法 转移 证 
据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ， 而 且 还 包括 可 识别 的 入 侵 者 身份 及 对 其 进行 起 诉 的 
信息 。 

口 实时 检测 和 响应 

基于 网 络 的 IDS 可 以 在 恶意 及 可 疑 攻击 发 生 的 同时 将 其 检测 出 来 ， 并 作出 更 快 的 通知 和 
响应 。 例 如 ， 一 个 基于 TCP 协议 对 网 络 进行 拒绝 服务 的 攻击 ， 可 以 通过 基于 网 络 的 IDS 发 出 
TCP 复位 信号 ， 在 该 攻击 对 目标 计算 机 造成 破坏 前 ， 将 其 中 断 。 而 基于 主机 的 系统 ， 只 有 在 
可 疑 的 登录 信息 被 记录 下 来 以 后 ， 才 能 识别 攻击 并 作出 反应 ， 不 过 此 时 关键 系统 可 能 早 就 遭 
到 了 破坏 ， 或 是 运行 基于 主机 的 IDS 的 系统 已 被 摧毁 。 另 外 ， 实 时 IDS 还 可 根据 预定 义 的 参 
数 作出 快速 反应 ， 这 些 反 应 包括 将 攻击 设 为 监视 模式 以 收集 信息 ， 立 即 中 止 攻击 等 。 

口 检测 未 成 功 的 攻击 和 不 良 意图 

基于 网 络 的 IDS 增加 了 许多 有 价值 的 数据 ， 以 判别 不 良 意 图 。 即 便 防 火 墙 正在 拒绝 这 些 
尝试 ， 但 位 于 防火 墙 之 外 基于 网 络 的 IDS 可 以 查 出 躲 在 防火 墙 后 的 攻击 意图 。 基 于 主机 的 系 
统 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 的 未 遂 攻 击 ， 而 这 些 丢失 的 信息 对 于 评估 和 优化 安全 策 
略 是 至 关 重 要 的 。 


口 操作 系统 无 关 性 
基于 网 络 的 IDS 作为 安全 监测 资源 ， 与 主机 的 操作 系统 无 关 。 与 之 相 比 ， 基 于 主机 的 系 
统 必须 在 特定 的 、 没 有 遭 到 破坏 的 操作 系统 中 才能 正常 工作 ， 生 成 有 用 的 结果 。 


网 络 入 侵 检 测 系统 有 如 下 弱点 。 

口 无 法 跨 网 段 检测 

网 络 入 侵 检测 系统 只 检查 它 直接 连接 网 段 的 通信 ， 不 能 检测 在 不 同 网 段 的 网 络 包 。 在 使 
用 交换 以 太 网 的 环境 中 就 会 出 现 监测 范围 的 局 限 ， 而 安装 多 台 网 络 入 侵 检测 系统 的 传感器 会 
使 部 署 整个 系统 的 成 本 大 大 增加 。 

口 不 易 检测 复杂 攻击 

为 了 提高 网 络 入 侵 检 测 系统 性 能 ， 通 常 采用 特征 检测 的 方法 ， 它 可 以 检测 出 普通 的 一 些 
攻击 ， 而 很 难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 另 外 ， 网 络 入 侵 检 测 系 
统 处 理 加 密 的 会 话 过 程 较 困难 ， 目 前 通过 加 密 通道 的 攻击 并 不 多 ， 但 随 着 IPv6 的 普及 ， 这 个 
问题 会 越 来 越 突 出 。 


11.2.3 混合 式 入 侵 检测 系统 


混合 式 入 侵 检测 系统 可 将 一 个 以 上 系统 的 功能 组 合 在 一 起 ， 以 便 获 得 更 强 的 灵活 性 和 安 
全 性 。 混 合式 IDS 的 目的 ， 在 于 获得 比 单一 基于 主机 或 者 基于 网 络 的 实现 方式 更 高 的 安全 性 
和 更 大 的 灵活 性 ， 因 为 这 些 基 于 主机 的 IDS 和 基于 网 络 的 IDS 各 有 优 缺 点 。 下 面 将 介绍 各 种 
混合 式 IDS 的 实现 方式 一 一 组 合 IDS 传感器 位 置 、 组 合 IDS 检测 方法 、 补 偿 IDS 和 分 布 式 IDS。 


IDS 混合 实现 方式 的 一 种 类 型 , 是 将 基于 主机 的 系统 与 基于 网 络 的 系统 组 合 起 来 。 这 种 组 
合 使 传感器 可 同时 放置 在 网 络 和 各 个 主机 上 ， 这 样 网 络 就 能 报告 针对 特定 网 段 或 者 整个 网 络 
的 攻击 。 

另 一 方面 ， 基 于 主机 的 IDS 可 以 保护 包含 特别 敏感 信息 (如 工作 记录 或 者 收入 支出 记录 
的 数据 库 ) 的 各 台 计算 机 。 在 计算 机 特别 执行 分 布 式 基于 主机 IDS 的 计算 机 ) 上 安装 了 IDS 
后 ， 就 可 以 实时 地 分 析 数 据 ， 并 且 可 以 发 出 警报 ， 通 知 管理 员 在 可 以 立即 确认 的 关键 资源 处 
存在 可 能 的 未 授权 访问 企图 。 


IDS 混合 实现 方式 的 另 一 种 类 型 是 组 合 异常 检测 和 滥用 检测 ,该 组 合 有 助 于 克服 每 种 检测 
的 局 限 性 ， 将 已 知 攻击 签名 的 数据 库 设 置 好 以 后 ， 系 统 就 可 以 立即 运行 ， 并 且 可 以 有 效 地 抵 
御 外 部 攻击 ; 将 基于 异常 的 系统 设置 好 以 后 ， 就 可 以 使 警报 系统 保持 灵活 性 ， 并 且 能 够 检测 
与 正常 的 使 用 模式 不 一 致 的 内 部 滥用 。 

组 合 了 异常 检测 和 滥用 检测 方法 的 混合 式 IDS 可 以 响应 最 新 的 、 以 前 未 报告 过 的 攻击 。 
它 还 具有 响应 来 自 内 部 和 外 部 源 的 攻击 。 


其 缺点 是 管理 员 需 要 处 理 更 多 的 配置 和 协调 工作 。 从 多 处 来 源 收集 的 数据 必须 归 集 于 一 
处 ， 在 此 位 置 便于 迅速 检查 和 分 析 数 据 。 
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补偿 IDS 是 一 种 基于 网 络 的 IDS， 因 为 它 使 用 的 传感器 分 布 在 网 络 中 ， 并 且 要 从 这 些 传 
感 器 收集 数据 ， 然 后 发 送 到 集中 式 命令 控制 台 。 但 是 ， 传 感 器 安装 在 选 定 的 主机 以 及 网 段 上 。 
与 基于 主机 的 IDS 不 同 ， 不 必 将 传感器 安装 在 网 络 中 的 每 个 主机 上 。 只 需 将 它们 安装 在 需要 
特殊 保护 的 主机 上 ， 如 保存 一 个 公司 的 专用 产品 信息 的 数据 库 。 


分 布 式 入 侵 检测 系统 增强 了 快速 响应 ， 其 中 将 多 个 入 侵 检测 设备 部 署 在 网 络 上 监视 通信 
和 报告 可 疑 事件 。 通 过 使 用 多 个 IDS 而 非 单个 IDS， 开 发 了 使 管理 员 可 以 将 无 害 的 异常 事件 
和 真正 的 攻击 区 别 开 发 的 模式 。MyNetWatchman (www.mynetwatchman.com) 和 DShield 
(www.dshield.org) 是 两 种 著名 的 IDS。DShield 的 Web 站 点 用 来 跟踪 来 自 全 球 的 攻击 ， 并 收 
集 Internet 用 户 自愿 提交 的 数据 。 收 集 的 数据 越 多 ， 开 发 的 模式 越 准确 。DShield 将 通知 用 户 
在 提交 日 志文 件 中 是 否 包含 入 侵 模 式 ， 以 便 可 以 根据 情况 配置 阻止 入 侵 者 的 软件 。 


由 于 能 够 将 基于 网 络 的 配置 和 基于 主机 的 配置 的 各 个 方面 组 合 ， 所 以 混合 入 侵 检测 系统 
具有 巨大 的 优势 。 用 户 可 以 利用 基于 网 络 的 传感器 监视 整个 网 络 ， 并 且 可 以 利用 基于 主机 的 
传感器 监视 到 在 各 台 计 算 机 的 攻击 。 混 合式 布局 的 缺点 在 于 需要 使 不 同 的 系统 协调 工作 。 此 
外 ， 从 多 个 系统 收集 的 数据 可 能 也 难以 被 轻松 地 理解 和 分 析 。 


11.2.4 IDS 相关 软件 


目前 网 络 中 ， 存 在 许多 种 与 IDS 相关 的 软件 ， 它 们 有 的 可 以 免费 获得 ， 有 些 商 业 程序 则 
需要 购买 。 其 中 ， 最 常见 的 IDS 相关 软件 有 Snort、Norton Internet Security、Tripwire 和 Cisco 
Secure IDS 等 。 


Snort 是 由 Martin Roesch 和 Brain Caswell 制作 的 IDS 免费 软件 ， 它 是 一 个 小 型 的 程序 ， 
使 用 的 系统 资源 较 少 ， 适 合 于 监视 小 型 网 络 或 者 单个 主机 上 的 通信 。 可 以 将 Snort 安装 在 位 于 
网 络 周边 的 计算 机 上 。 它 还 可 以 应 用 于 家 庭 或 者 小 型 商业 网 络 上 的 专用 计算 机 上 。 

Snort 具有 一 个 规则 文件 集合 ， 这 些 文 件 是 为 各 种 类 型 的 网 络 通信 定制 的 ， 在 总 体 配置 文 
件 snort.conf 中 可 以 激活 它们 。 独 立 的 规则 将 应 用 于 端口 扫描 、 后 门 攻击 、Web 攻击 和 许多 其 
他 类 型 的 潜在 入 侵 。 规 则 文件 是 基于 文本 的 ; 要 在 文本 编辑 器 中 打开 规则 文件 ， 然 后 对 它们 
进行 检查 和 编辑 ， 使 其 适合 用 户 自己 的 网 络 。 

snort.conf 配置 文件 易于 编辑 ， 并 且 可 以 对 它 进行 定制 ， 以 适合 其 他 大 量 的 事件 。 此 外 ， 
其 他 配置 文件 包含 的 变量 使 用 户 可 以 保护 网 络 上 的 SMTP、HTTP 和 SQL 服务 器 ， 否 则 的 话 ， 


由 于 通过 这 些 服务 器 的 通信 量 很 大 ， 它 们 就 有 可 能 引起 假 警报 。 另 外 还 提供 了 各 种 各 样 用 于 
Snort 的 GUI 接口。 这 些 GUI 包括 IDS Center 或 者 SnortSnarf。 


站 2 Norton ntemet Securiy — 


Symantec 公司 Norton Internet Security 是 一 种 个 人 防火 墙 程序 ， 用 于 保护 基于 家 庭 独立 计 
算 机 或 者 小 型 网 络 上 的 计算 机 。 但 是 ， 这 种 程序 还 包含 一 些 入 侵 检测 功能 。 这 些 功能 专门 用 
于 阻止 端口 扫描 ， 以 及 由 众所周知 的 特洛伊 木马 程序 使 用 的 端口 上 的 攻击 企图 。 如 果 检 测 到 
攻击 ， 那 么 称 为 AutoBlock 的 功能 将 使 黑客 与 用 户 的 计算 机 之 间 的 通信 停止 30 秒 。 在 这 30 
秒 的 时 间 内 ， 黑 客 可 能 会 转向 另 一 台 计 算 机 去 尝试 攻击 。 如 果 黑 客 试图 对 用 户 的 计算 机 进行 
同样 的 攻击 ， 通 信 将 被 再 次 终止。 

和 其 他 个 人 防火 墙 程序 一 样 ，Norton Internet Security 具有 “学 习 ” 什 么 构成 “正常 ”的 
网 络 使 用 、 什 么 与 这 样 的 使 用 相 背离 的 能 力 。 它 允许 用 户 建 立 规则 ， 阻 止 与 正常 使 用 不 一 致 
的 通信 。 当 遇 到 的 通信 可 能 是 入 侵 时 ， 将 出 现 弹 出 式 警报 消息 。 但 是 ， 该 程序 缺乏 设置 用 户 
配置 文件 的 能 力 ， 并 且 除 了 前 面 提 到 的 端口 扫描 和 特洛伊 木马 攻击 之 外 ， 它 没有 使 用 一 组 攻 
击 签名 。 
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Tripwire 最 初 是 1992 年 在 Purdue 大 学 开发 的 , 长 期 以 来 , 一 直 是 最 受 欢迎 的 软件 IDS 程 
序 包 之 一 。 该 程序 的 最 新 版 本 是 Tripwire 公司 提供 的 Tripwire for Network Devices， 它 使 用 基 
于 异常 的 入 侵 检 测 。 它 首先 建立 正常 网 络 使 用 的 基准 。 在 基准 建立 之 后 ， 在 配置 中 出 现 的 任 
何 变化 ， 例 如 在 系统 上 创建 新 的 文件 ， 或 者 某 个 用 户 第 一 次 访问 服务 器 ， 都 将 触发 警报 消息 。 

该 软件 适合 于 需要 密切 监视 员工 活动 的 情况 。Tripwire 维护 着 一 个 日 志文 件 , 它 详细 地 记 
录 每 个 用 户 和 网 络 资源 发 生 的 每 个 交互 作用 。 此 外 ， 自 最 后 的 “良好 ”配置 建立 以 来 ， 任 何 
已 经 放置 在 网 络 资源 上 的 新 文件 都 将 被 记录 ， 这 使 管理 员 可 以 迅速 检测 病毒 或 者 蠕虫 是 否 已 
经 激活 。 


Internet Security Systems 公司 提供 的 RealSecure 是 最 全 面 、 在 市 场 上 使 用 最 广泛 的 产品 之 
一 。RealSecure 使 用 分 布 式 客户 -服务 器 体系 结构 。 利 用 一 个 或 者 更 多 的 RealSecure 网 络 传 感 
器 产品 ， 它 可 以 扫描 网 络 上 的 通信 。 此 外 ，OS 和 服务 器 传感器 还 可 以 监视 出 入 主机 的 通信 ， 
以 便 检测 所 有 未 经 授权 的 活动 。 这 些 可 用 的 传感器 彼此 协作 ， 使 RealSecure 可 以 起 到 混合 式 
IDS 的 作用 。 

RealSecure 还 包括 一 个 称 为 Workgroup Manager 的 命令 控制 台 , 它 可 以 提供 到 已 安装 的 传 
感 器 的 安全 通信 信道 。 该 控制 台 使 网 络 管理 员 可 以 使 用 具有 2000 多 种 已 知 攻击 签名 的 数据 库 ， 
执行 警报 监视 。 


Cisco Secure IDS 利用 攻击 签名 数据 库 检测 入 侵 企图 。 这 种 基于 网 络 的 IDS 使 用 传感器 (有 具 
有 自己 的 处 理 器 、 内 存 和 网 络 接口 卡 的 硬件 设备 ) 被 放置 在 网 络 的 周围 ， 用 于 监视 通信 。 警 
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报 将 发 送 到 两 个 命令 控制 台 之 一 : Cisco Secure Policy Manager 或 者 用 于 UNIX 的 Cisco Secure 
IDS Director。 

签名 是 Cisco Secure IDS Director 的 基础 ， 可 以 供 该 系统 使 用 的 签名 被 分 成 各 种 类 型 的 网 
络 通信 包括 P 签名 、ICMP 签名 、TCP 签名 、Web/HTTP 签名 、 匹 配 字符 串 的 签名 等 。 但 是 ， 
该 系统 不 仅仅 将 通信 与 其 签名 数据 库 进 行 比较 ， 它 监视 网 络 通信 时 还 要 注意 攻击 的 模式 。 除 
了 监视 通信 外 ， 还 可 以 为 传感器 配置 相应 的 规则 ， 阻 止 所 有 来 自 不 可 靠 瑟 地 址 的 通信 。 
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11.2.5 同 管 心得 


入 侵 检 测 系统 (IDS) 自 20 世纪 80 年 代 以 来 得 到 了 极 大 的 发 展 ， 典 型 的 入 侵 检测 系统 通 
常 采用 静态 异常 模型 和 规则 的 滥用 模型 来 检测 入 侵 ， 这 些 IDS 的 检测 基本 是 基于 服务 器 或 网 
络 的 ， 即 主机 IDS 和 网 络 IDS。 基 于 服务 器 的 IDS 采用 服务 器 操作 系统 的 检测 顺序 作为 主要 
输入 源 来 检测 入 侵 行为 ， 而 基于 网 络 的 IDS 则 以 监控 网 络 故障 作为 检测 机 制 ， 网 络 入 侵 检 测 
系统 是 监视 计算 机 网 络 系统 中 违背 系统 安全 策略 行为 的 过 程 。 按 照 最 为 规范 的 形式 来 划分 ， 
入 侵 检测 分 为 以 下 三 个 模块 。 

口 数据 源 “提供 用 于 系统 监视 的 审计 记录 流 . 

口 分 析 引 擎 ”用 于 对 审计 数据 进行 分 析 ， 发 现 入 侵 或 异常 行为 。 

口 响应 ”根据 分 析 引 擎 的 输出 结果 ， 产 生 适 当 的 反应 。 

这 些 模块 是 相辅相成 的 ， 数 据 源 为 分 析 引 擎 提供 原始 数据 进行 入 侵 分 析 ， 分 析 引 擎 执行 
实际 的 入 侵 或 异常 行为 检测 ， 分 析 引 擎 的 结果 提交 给 响应 模块 ， 帮 助 采取 必要 和 适当 的 动作 ， 
阻止 进一步 的 入 侵 行 为 或 恢复 受 损害 的 系统 。 同 时 响应 模块 作用 的 对 象 也 包括 数据 源 和 分 析 
引擎 ， 对 数据 源 来 说 ， 可 以 要 求 提供 更 为 详细 的 信息 ， 调 整 监视 策略 ， 收 集 其 他 类 型 的 数据 ; 
对 于 分 析 引 擎 ， 则 可 以 增加 、 删 除 或 更 改 系统 的 检测 规则 ， 修 正 检测 过 程 中 的 参考 模型 ， 调 
整 系统 的 运行 参数 等 。 随 着 入 侵 检测 技术 的 不 断 发 展 和 完善 ， 响 应 模块 成 为 其 中 的 关键 部 分 ， 
并 得 到 了 充分 发 展 。 

入 侵 检测 系统 中 ， 在 完成 系统 安全 状况 分 析 并 确定 系统 所 出 问题 后 ， 则 需要 让 人 们 知道 
这 些 问 题 的 存在 〈 在 特定 情况 下 ， 还 要 采取 行动 )， 这 在 入 侵 检测 处 理 过 程 模型 中 称 为 响应 。 
响应 包括 被 动 响应 和 主动 响应 。 被 动 响应 就 是 系统 仅仅 简单 地 记录 和 报告 所 检测 出 的 问题 ， 
而 主动 响应 则 是 系统 要 为 阻塞 或 影响 攻击 进程 而 采取 行动 。 在 早期 的 入 侵 检测 系统 中 被 动 响 
应 是 唯一 的 响应 模式 ， 随 着 技术 的 不 断 发 展 和 人 们 对 安全 性 要 求 的 不 断 提 高 ， 主 动 响应 成 为 
现今 入 侵 检测 系统 的 主要 响应 模式 。 

在 网 络 站 点 安全 处 理 措施 中 ， 入 侵 检测 的 一 个 关键 部 分 就 是 确定 使 用 哪 一 种 入 侵 检测 响 
应 方式 以 及 根据 响应 结果 来 决定 采取 哪些 行动 ， 主 动 响应 是 主要 方式 。 主 动 响应 技术 主要 包 
括 以 下 几 种 选项 可 供 选择 。 


人 1 入侵 追踪 技术 网 

对 入 侵 采 取 反 击 行动 的 方式 ， 在 一 些 组 织 和 机 构 应 用 非常 广泛 ， 因 为 这 些 组 织 和 机 构 的 
网 络 安全 管理 人 员 特 别 希 望 能 够 追踪 入 侵 者 的 攻击 来 源 ， 并 采取 行动 切断 入 侵 者 计算 机 和 网 
络 的 连接 。 但 这 一 方式 本 身 就 存在 安全 漏洞 ， 首 先入 侵 者 的 常用 攻击 方法 是 使 一 个 系统 崩溃 ， 
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然后 再 利用 它 作为 攻击 另外 系统 的 平台 ; 其 次 ， 即 使 入 侵 者 来 自 一 合法 控制 的 系统 ， 但 他 也 
会 利用 IP 地 址 欺骗 技术 使 反击 危害 到 其 他 人 ; 并 且 反 击 的 结果 可 能 引起 更 猛烈 的 攻击 ， 因 为 
入 侵 者 会 从 常规 监视 和 扫描 演变 为 全 面 攻击 ， 从 而 使 系统 资源 陷入 危机 ;进一步 讲 ， 由 于 反 
击 行动 涉及 重要 法 规 和 现实 问题 ， 所 以 这 种 响应 方式 也 不 应 该 成 为 最 常用 的 主动 响应 。 


门 2 入 侵 警 告 和 预防 一 


对 付 入 侵 者 也 可 以 采取 比较 温和 的 方式 。 一 方面 ， 入 侵 检测 系统 可 以 有 意 地 断 开 与 其 他 
网 络 的 对 话 ， 例 如 向 入 侵 者 的 计算 机 发 送 TCP 的 RESET 包 ， 或 发 送 TCMP Destination 
Unreachable (目标 不 可 达 ) 包 ， 系 统 也 可 利用 防火 墙 和 网 关 阻 止 来 自 入 侵 的 卫 地 址 的 数据 包 ; 
另 一 方面 ， 系 统 可 以 发 邮件 给 怀疑 入 侵 者 的 系统 管理 员 请 求 协助 以 识别 问题 和 处 理 问 题 。 这 
种 响应 方式 只 能 发 现 问题 ， 处 理 问 题 ， 但 对 入 侵 检测 系统 的 完善 所 起 的 作用 并 不 明显 ， 但 在 
一 些 研 究 结 构 和 院 校 得 到 一 定 应 用 。 

这 种 响应 方式 是 大 部 分 商业 入 侵 检测 系统 追求 的 ， 但 由 于 应 用 起 来 涉及 的 问题 比较 多 
发 展 相 对 比较 慢 。 


人 3 修正 系统 环境 ) 

修正 系统 环境 类 似 于 自动 控制 的 反馈 环节 ， 并 有 具有 自学 习 进化 功能 。 修 正 系统 环境 以 修 
补 导 致 入 侵 发 生 的 漏洞 为 关键 ， 通 过 增加 敏感 水 平 来 改变 分 析 引 擎 的 操作 特征 ， 或 通过 插入 
规则 改变 专家 系统 来 提高 对 一 些 攻击 的 怀疑 或 增加 监视 范围 以 比 通常 更 好 的 采样 间隔 来 收集 
信息 。 

这 种 响应 方式 由 于 相对 于 上 一 种 响应 来 说 相 比 更 为 缓和 ， 若 与 提供 调查 支持 的 响应 相 结 
合 可 称 为 最 佳 响应 配置 ， 可 广泛 应 用 。 


人 4 收集 额外 信息 ) 


当 被 保护 的 系统 非常 重要 且 系 统管 理 员 需 不 断 地 进行 法 则 矫正 时 ， 就 需要 收集 入 侵 者 的 
信息 ， 并 不 断 地 改进 和 优化 系统 ， 并 且 可 以 将 入 侵 转移 到 专用 服务 器 。 这 些 专用 服务 器 设置 
被 称 为 欺骗 网 技术 ， 欺 骗 网 技术 就 是 使 入 侵 者 相信 信息 系统 存在 有 价值 的 、 可 利用 的 安全 弱 
点 ， 并 且 有 一 些 可 攻击 窃取 的 资源 (伪造 或 不 重要 的 )， 并 将 入 侵 者 引 向 这 些 错误 的 资源 。 它 
能 够 显著 地 增加 入 侵 者 的 行为 ， 在 入 侵 者 之 前 修补 系统 可 能 存在 的 安全 漏洞 。 

从 原理 上 讲 ， 每 个 有 价值 的 网 络 系 统 都 存在 安全 弱点 ， 而 且 这 些 弱点 都 可 能 被 入 侵 者 所 
利用 。 网 络 欺骗 主要 包括 影响 入 侵 者 使 之 按照 你 的 意志 进行 选择 、 迅 速 地 检测 到 入 侵 者 的 进 
攻 并 获知 其 进攻 技术 和 意图 、 消 耗 入 侵 者 的 资源 3 个 作用 。 

以 上 4 种 响应 模式 是 主动 响应 的 主要 表现 形式 ， 由 于 科研 院 所 和 商业 公司 所 追求 的 目标 
和 作用 不 同 ， 响 应 模式 的 应 用 也 是 互 不 相同 ， 因 此 主动 响应 技术 的 发 展 出 现 了 多 元 化 的 发 展 
趋势 。 


11.3 1DS 的 检测 方式 


对 各 种 事件 进行 分 析 ， 从 中 发 现 违反 安全 策略 的 行为 是 入 侵 检测 系统 的 核心 功能 。 从 技 


术 上 ， 入 侵 检测 大 体 分 为 3 类 ， 分 别 为 基于 异常 行为 的 检测 技术 (anomaly-based)、 基 于 知识 
特征 的 检测 技术 (signature-based) 和 协议 分 析 检 测 技术 。 


11.3.1 基于 行为 的 检测 


通过 将 过 去 观察 到 的 正常 行为 与 受到 攻击 时 的 行为 加 以 比较 ， 根 据 使 用 者 的 异常 行为 或 
资源 的 异常 使 用 状况 来 判断 是 否 发 生 入 侵 活动 ， 其 原则 是 任何 与 已 知行 为 模型 不 符合 的 行为 
都 认为 是 入 侵 行 为 。 

异常 检测 的 假设 是 入 侵 者 活动 异 于 正常 主体 的 活动 。 这 种 活动 存在 4 种 可 能 : 入 侵 性 且 
非 异 常 、 非 入 侵 性 且 异 常 、 非 入 侵 性 且 非 异常 、 入 侵 且 异常 。 如 果 能 够 建立 系统 正常 行为 的 
轨迹 ， 那 么 理论 上 可 以 把 所 有 与 正常 轨迹 不 同 的 系统 状态 视 为 可 疑 企 图 。 根 据 这 一 理念 建立 
主体 正常 活动 的 “活动 简 档 ”， 将 当前 主体 的 活动 状况 与 “活动 简 档 ” 相 比较 ， 当 违反 其 统计 
规律 时 ， 认 为 该 活动 可 能 是 “入 侵 ” 行 为 。 

异常 检测 的 优点 是 可 以 发 现 未 知 的 入 侵 行 为 ， 同 时 有 一 定 的 学 习 能 力 。 蜡 常 检测 的 难题 
在 于 如 何 建立 “活动 简 档 ” 以 及 如 何 设计 统计 算法 ， 从 而 不 把 正常 的 操作 作为 “入 侵 ”( 误 报 ) 
或 忽略 真正 的 “入 侵 ” 行 为 〈 漏 报 )。 对 于 异常 阔 值 与 特征 的 选择 ， 是 异常 发 现 技术 的 关键 。 
比如 ， 通 过 流量 统计 分 析 将 异常 时 间 的 异常 网 络 流量 视 为 可 疑 。 

异常 发 现 技术 的 局 限 是 并 非 所 有 的 入 侵 都 表现 为 异常 ， 而 且 系统 的 轨迹 难于 计算 和 更 新 。 
例如 ， 当 用 户 合法 地 改变 行为 模式 时 《如 使 用 新 的 应 用 程序 ) 系统 会 误 报 ; 入 侵 者 可 通过 对 
正常 行为 模式 缓慢 地 偏离 使 系统 逐渐 适应 ， 导 致 系统 漏 报 ; 对 于 新 用 户 ， 系 统 的 学 习 阶段 何 
时 结束 不 易 确 定 ， 同 时 在 该 阶段 难以 对 用 户 进行 正常 的 检测 。 

另外 ， 大 多 IDS 是 基于 单 包 检查 的 ， 协 议 分 析 得 不 够 ， 因 此 无 法 识别 伪装 或 变形 的 网 络 
攻击 ， 也 造成 大 量 漏 报 和 误 报 。 


11.3.2 ”基于 知识 的 检测 


基于 知识 的 检测 方式 是 指 在 网 络 通信 中 搜索 一 系列 字 节 或 数据 包 队列 以 查找 已 知 的 恶意 
程序 ， 也 称 为 签名 检测 。 该 检测 方式 的 最 大 好 处 是 ， 如 果 清楚 想 要 找 出 的 网 络 行为 ， 这 种 签 
名 就 很 容易 开发 和 理解 。 例 如 ， 能 够 利用 一 个 签名 寻找 一 个 可 利用 的 安全 漏洞 中 的 特定 字符 
串 来 检测 ， 并 使 用 特定 的 缓存 溢出 安全 漏洞 实施 攻击 的 企图 。 这 个 由 基于 知识 的 入 侵 检测 系 
统 产生 的 事件 能 够 传达 什么 导致 了 报警 ， 模 式 匹配 在 现代 系统 上 能 够 很 快 完成 ， 因 此 对 于 确 
定 的 一 套 规则 来 讲 ， 进 行 这 种 检测 所 需要 的 计算 能 力 是 最 小 的 。 例 如 ， 如 果 要 保护 的 系统 仅 
通过 DNS、ICMP 和 SMTP 通信 ， 所 有 的 其 他 签名 都 将 被 删除 。 

签名 引擎 也 存在 着 弱点 。 由 于 签名 引擎 检测 已 知 的 攻击 ， 必 须 为 每 一 种 攻击 制作 一 个 签 
名 ， 而 且 新 的 攻击 还 无 法 检测 ;签名 检测 通常 是 根据 正常 的 表达 和 字符 串 设计 的 ， 因 此 签名 
引擎 也 会 出 现 不 正确 的 检测 结果 ， 且 这 种 机 制 只 是 在 线路 上 传输 的 数据 包 中 检测 字符 串 。 

虽然 签名 对 于 检测 以 固定 方式 实施 的 攻击 很 成 功 ， 但 是 对 于 人 工 制 作 的 或 者 具有 自我 修 
正 行为 功能 的 蠕虫 发 起 的 多 种 形式 的 攻击 的 检测 就 有 些 力不从心 。 有 些 利用 安全 漏洞 允许 恶 
意 用 户 把 攻击 隐藏 在 “nop 发 生 器 ”( 信 号 发 生 器 )、 负 载 编码 器 和 加 密 数 据 通道 后 面 ， 使 检测 


更 加 复杂 。 由 于 必须 为 每 一 种 攻击 的 变 体制 作 一 个 新 的 签名 ， 而 且 随 着 规则 的 增加 监测 系统 
的 运行 速度 将 减缓 ， 因 此 ， 签 名 引擎 检测 这 些 变化 的 攻击 的 整体 能 力 将 受到 影响 。 

实际 上 ， 基 于 签名 的 入 侵 检 测 系统 可 以 归结 为 攻击 者 和 入 侵 检测 系统 签名 开发 商 之 间 的 
竞赛 ， 这 场 竞赛 的 关键 是 签名 编写 和 应 用 到 入 侵 检测 引擎 中 的 速度 。 


11.3.3 ”协议 分 析 检 测 技术 


在 协议 分 析 中 , 网 络 入 侵 检测 系统 的 传感器 检查 TCP 和 UDP 的 有 效 荷 载 , 且 可 以 将 其 完 
全 解码 。 协 议 分 析 提 供 了 一 种 高 级 的 网 络 入 侵 解决 方案 ， 可 以 检测 更 广泛 的 攻击 ， 包 括 已 知 
和 未 知 的 。 

协议 分 析 可 以 应 用 在 不 同 的 上 层 协 议 上 (如 Telnet、FTP、HTTP、SMTP、SNMP、DNS 
等 ) 对 每 一 个 用 户 命令 作出 详细 分 析 ， 如 果 出 现 他 碎片 设置 ， 数据 包 将 首先 被 重 装 ， 然 后 通 
过 详细 分 析 来 了 解 潜在 的 攻击 行为 。 通 过 重 装 数据 包 ， 系 统 可 以 检测 到 利用 IDS 逃避 技术 的 
攻击 手段 。 

另外 ， 协 议 分 析 与 命令 解析 带 来 的 好 处 是 ， 当 系统 提升 协议 栈 来 解析 每 一 层 时 ， 它 用 已 
获得 的 知识 来 消除 在 数据 包 结构 中 不 可 能 出 现 的 攻击 。 比 如 传输 层 协议 是 TCP， 那 么 将 不 用 
再 搜索 其 他 传输 层 协 议 如 UDP 上 形成 的 攻击 。 如 果 数 据 包 中 的 应 用 层 协议 是 SNMP， 将 不 用 
再 寻找 Telnet 或 HITP 攻击 。 这 样 做 的 结果 是 性 能 得 到 明显 改善 。 

协议 解析 也 大 大 降低 了 模式 匹配 IDS 系统 中 常见 的 误 报 现象 。 当 数据 包 的 一 些 字符 串 符 
合 攻击 特征 库 时 系统 就 会 报警 ， 但 该 字符 串 实际 上 根本 不 是 一 个 攻击 ， 则 属于 误 报 。 这 样 的 
误 报 不 会 在 基于 协议 分 析 和 命令 解析 的 IDS 系统 中 发 生 ， 因 为 它们 知道 和 每 个 协议 有 关 的 潜 
在 攻击 的 确切 位 置 。 

基于 协议 分 析 和 命令 解析 的 IDS 网 络 传感器 ， 采 用 高 性 能 数据 包 驱 动 器 ， 使 其 不 仅 支持 
线 速 百 兆 流量 检测 , 而 且 千 兆 网 络 传感器 具有 900 兆 网 络 流量 的 100% 检 测 能 力 , 可 以 支持 300 
万 个 并 发 连接 。 

目前 ， 国 际 优秀 的 IDS 主要 以 模式 发 现 技术 为 主 ， 并 结合 异常 发 现 、 协 议 分 析 技 术 ， 即 
一 个 完备 的 入 侵 检测 系统 IDS 一 定 是 基于 主机 和 基于 网 络 两 种 方式 兼备 的 分 布 式 系统 。 


]11.3.4 梧 符 心得 一 一 党 给 入 岂 兴 测 系 委 


随 着 黑客 技术 的 提高 ， 无 线 局 域 网 (VLANS) 受到 越 来 越 多 的 威胁 。 例 如 ， 配 置 无 线 基 
站 (WAPS) 的 失误 导致 会 话 劫持 以 及 拒绝 服务 攻击 都 将 影响 着 无 线 局 域 网 的 安全 。 无 线 网 络 ， 
有 时 基于 传统 有 线 网 络 TCP/IP 架构 而 受到 攻击 ， 还 可 能 受到 基于 电气 和 电子 工程 师 协 会 
(IEEE) 发 行 802.11 标准 本 身 的 安全 问题 而 受到 威胁 为 了 更 好 地 检测 和 防御 这 些 潜在 的 威胁 ， 
无 线 局 域 网 也 使 用 了 一 种 入 侵 检测 系统 来 解决 这 个 问题 。 在 此 ， 将 讲述 为 什么 需要 无 线 入 侵 
检测 系统 、 使 用 无 线 入 侵 检测 系统 的 优点 等 。 


[1 使 用 无 线 入 侵 检测 系统 原因 一 


无 线 局 域 网 容易 受到 各 种 各 样 的 威胁 ， 如 802.11 标准 的 加 密 方 法 和 有 线 对 等 保密 (Wired 
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入 侵 检 测 系统 


Equivalent Privacy) 都 很 脆弱 。 在 “Weaknesses in the Key Scheduling Algorithm of RC-4” 文 档 
里 就 说 明了 WEP key 能 在 传输 中 通过 暴力 破解 攻击 。 即使 WEP 加 密 被 用 于 无 线 局 域 网 中 , 黑 
客 也 能 通过 解密 得 到 重要 数据 。 

黑客 通过 欺骗 (rogue) WAP 得 到 重要 数据 。 无 线 局 域 网 的 用 户 在 不 知道 时 ， 则 认为 自己 
通过 很 好 的 信号 连 入 无 线 局 域 网 ， 却 不 知已 经 遭 到 黑客 的 监听 。 随 着 低 成 本 和 易于 配置 造成 
了 现在 的 无 线 局 域 网 的 流行 ， 许 多 用 户 也 可 以 在 自己 的 传统 局 域 网 架设 无 线 基站 ， 随 之 而 来 43) 
的 一 些 用 户 在 网 络 上 安装 的 后 门 程序 ， 也 造成 了 对 黑客 开放 的 不 利 环境 ， 这 正 是 没有 配置 入 
侵 检测 系统 的 组 织 机 构 开 始 考虑 配置 IDS 的 解决 方案 的 原因 。 或 许 架 设 无 线 基 站 的 传统 局 域 
网 用 户 也 同样 面临 着 遭 到 黑客 的 监听 的 威胁 。 

基于 802.11 标准 的 网 络 还 有 可 能 遭 到 拒绝 服务 攻击 的 威胁 ， 从 而 使 得 无 线 局 域 网 难以 工 
作 。 无 线 通信 由 于 受到 一 些 物理 上 的 威胁 会 造成 信号 衰减 ， 这 些 威胁 包括 树 、 建 筑 物 、 雷 雨 
和 山峰 等 破坏 无 线 通 信 的 物体 。 如 微波 炉 、 无 线 电话 也 可 能 威胁 基于 802.11 标准 的 无 线 网 络 ; 
黑客 通过 无 线 基站 发 起 的 恶意 的 拒绝 服务 攻击 会 造成 系统 重启 。 另 外 ， 黑 客 还 能 通过 上 文 提 
到 的 欺骗 WAP 发 送 非法 请 求 来 干扰 正常 用 户 使 用 无 线 局 域 网 。 

还 有 一 种 威胁 无 线 局 域 网 的 技术 是 ever-increasing pace。 这 种 威胁 确实 存在 ， 并 可 能 导致 
大 范围 的 破坏 ， 这 也 正 是 让 802.11 标准 越 来 越 流行 的 原因 。 对 于 这 种 攻击 ， 现 在 暂时 还 没有 
好 的 防御 方法 ， 但 将 来 会 提出 一 个 更 好 的 解决 方案 。 


六 2 无线 入 侵 检测 系统 优点 “| 


入 侵 检测 系统 通过 分 析 网 络 中 的 传输 数据 来 判断 破坏 系统 和 入 侵 事件 。 传 统 的 入 侵 检 测 
系统 ， 仅 能 检测 和 对 破坏 系统 作出 反应 。 现 在 ， 入 侵 检 测 系统 已 用 于 无 线 局 域 网 来 监视 分 析 
用 户 的 活动 ， 判 断 入 侵 事件 的 类 型 ， 检 测 非法 的 网 络 行为 ， 对 异常 的 网 络 流量 进行 报警 。 
无 线 入 侵 检测 系统 同 传统 的 入 侵 检测 系统 类 似 。 但 无 线 入 侵 检测 系统 加 入 了 一 些 无 线 局 
域 网 的 检测 和 对 破坏 系统 反应 的 特性 。 

无 线 入 侵 检测 系统 可 以 通过 提供 商 来 购买 ， 为 了 发 挥 无 线 入 侵 检测 系统 优良 的 性 能 ， 他 
们 同时 还 提供 无 线 入 侵 检 测 系统 的 解决 方案 。 目 前 ， 市 场 上 流行 的 无 线 入 侵 检 测 系统 有 
Airdefense RogueWatch 和 Airdefense Guard。 与 传统 入 侵 检 测 系统 相 比 存在 如 下 优点 。 

口 架构 

从 构架 上 来 讲 ， 无 线 入 侵 检 测 系 统 分 为 集中 式 和 分 散 式 两 种 。 集 中 式 无 线 入 侵 检 测 系统 
通常 用 于 连接 单独 的 sensors (传感器 )， 搜 集 数 据 并 转发 到 存储 和 处 理 数 据 的 中 央 系 统 中 。 分 
散 式 无 线 入 侵 检 测 系统 通常 由 多 种 设备 来 完成 IDS 的 处 理 和 报告 功能 。 但 在 实际 应 用 中 ， 分 
散 式 无 线 入 侵 检测 系统 比较 适合 较 小 规模 的 无 线 局 域 网 ， 因 为 它 价格 便宜 和 易于 管理 。 当 需 
要 过 多 的 sensors 时 ， 拥 有 数据 处 理 功能 的 sensors 将 不 需要 任何 花费 。 所 以 , 多 线程 的 处 理 和 
报告 的 sensors 管理 比 集中 式 无 线 入 侵 检 测 系 统 花 费 更 多 的 时 间 。 

无 线 局 域 网 通常 被 配置 在 一 个 相对 较 大 的 环境 中 ， 若 要 更 好 地 接收 信号 ， 也 可 配置 多 个 
无 线 基站 ， 然 后 在 无 线 基站 的 位 置 上 部 署 sensors， 这 样 将 提高 信号 的 覆盖 范围 。 由 于 这 种 物 
理 架构 ， 大 多 数 的 黑客 行为 会 被 检测 到 。 另 外 ， 加 大 了 同 无 线 基站 的 距离 ， 从 而 更 好 地 定位 
黑客 的 详细 地 理 位 置 。 

口 策略 执行 

无 线 入 侵 检测 系统 不 但 能 找 出 入 侵 者 ， 还 能 加 强 策略 。 通 过 使 用 强 有 力 的 策略 会 使 无 线 
局 域 网 更 安全 。 
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口 威胁 检测 

无 线 入 侵 检 测 系统 ， 能 检测 出 攻击 者 的 行为 ， 还 能 检测 到 rogue WAPS， 识 别 出 未 加 密 的 
802.11 标准 的 数据 流量 。 

为 了 更 好 地 发 现 潜在 的 WAP 目标 ， 黑 客 通常 使 用 扫描 软件 ， 如 Netstumbler 和 Kismet 这 
些 软件 ; 使 用 全 球 卫 星 定位 系统 (Global Positioning System ) 来 记录 他 们 的 地 理 位 置 ， 这 些 工 
具 正 是 因为 许多 网 站 对 WAP 地 理 支 持 而 流行 的 。 

比 探测 扫描 更 严重 的 是 ， 无 线 入 侵 检测 系统 检测 到 的 Dos 攻击 ，Dos 攻击 在 网 络 上 非常 
普遍 。DoS 攻击 都 是 因为 建筑 物 阻挡 造成 信号 衰减 而 发 生 的 。 黑 客 也 喜欢 对 无 线 局 域 网 进行 
Dos 攻击 。 无 线 入 侵 检测 系统 能 检测 黑客 的 这 种 行为 ， 如 伪造 合法 用 户 进行 泛 洪 攻击 等 。 

另外 ， 一 些 无 线 入 侵 检测 系统 ， 还 能 检测 到 MAC 地 址 欺骗 ， 然 后 通过 数据 分 析 ， 找 出 那 
些 伪 装 WAP 的 无 线 上 网 用 户 。 


11.4 1DS 的 应 用 


防火 墙 和 杀毒 软件 作为 最 早 被 用 户 接受 的 网 络 安全 产品 ， 已 经 成 为 安全 方案 中 不 可 缺少 
的 一 部 分 。 但是, 仅仅 依靠 它们 是 远 远 不 够 的 。IDS 作为 全 面 安全 产品 体系 的 一 部 分 ， 能 保护 
重要 的 信息 免 受 外 部 和 内 部 的 威胁 。 


11.4.1 IDS 设置 


就 像 大 多 数 复杂 系统 一 样 ,为 了 最 大 限度 地 利用 IDS， 必须 事先 制订 大 量 的 计划 , 设置 相 
关 策 略 ， 甚 至 在 制订 相应 的 策略 之 前 就 必须 收集 信息 ， 对 网 络 进行 分 析 ， 同 时 还 要 对 执行 人 
员 进 行 管理 。 通 常 ，IDS 设置 最 为 关键 的 是 创建 IDS 策略 ， 具 体 步 骤 依 次 分 为 定义 IDS 的 目 
标 、 选 择 监视 内 容 、 选 择 对策 、 设 置 阔 值 和 实现 策略 。 


@ 1. 定义 IDS 目标 门 

IDS 目标 提供 策略 的 要 求 。 潜 在 的 目标 包括 攻击 检测 、 防 洪 攻击 、 检 测 违反 策略 的 情况 、 
增强 使 用 策略 、 增 强 连 接 策 略 和 收集 证 据 ， 且 这 些 IDS 目标 可 以 是 综合 的 ， 任 何 IDS 的 实际 
目标 都 取决 于 部 署 它 的 机 构 。 这 并 不 意味 着 它 是 一 份 综合 的 清单 , IDS 可 以 让 机 构 在 攻击 开始 
时 发 现 攻击 ， 并 收集 证 据 或 通过 终止 事件 来 防止 进一步 的 破坏 。 当 然 ， 这 不 是 IDS 可 以 提供 
的 唯一 服务 , 因为 IDS 会 收集 许多 关于 发 生 在 网 络 和 机 构 的 计算 机 系统 上 的 事件 的 详细 信息 ， 
所 以 它 还 可 以 识别 出 违反 策略 的 情况 和 网 络 资源 的 实际 使 用 情况 。 

口 攻击 识别 

攻击 识别 是 IDS 最 常见 的 用 途 。 编 写 IDS 是 为 了 查找 某 一 类 可 能 表明 攻击 正在 进行 的 事 
件 。 一 个 简单 的 例子 是 连接 到 TCP 端口 80 CHITTP)， 其 后 跟 有 URL， 包 括 .bat 扩展 。 这 表示 
入 侵 者 正在 试图 攻击 IS Web 服务 器 上 的 薄弱 点 。 

大 多 数 攻 击 的 特征 不 是 这 么 简单 就 可 以 被 识别 的 。 例 如 ， 在 Intemet 上 ,仍然 普遍 使 用 的 
密码 猜测 攻击 。HIDS 可 能 有 一 个 规则 ， 它 用 于 查找 短 时 间 内 针对 每 一 个 账号 的 3 次 失败 的 登 
录 企 图 。 为 了 实现 这 一 点 , HIDS 必须 跟踪 日 志 上 显示 的 时 间 和 每 一 个 账号 上 失败 的 登录 企图 ， 


并 且 应 该 在 登录 成 功 或 时 间 超 时 的 时 候 重 置 其 计时 器 。 

一 个 更 复杂 的 攻击 识别 的 例子 是 ， 入 侵 者 试图 猜测 多 个 账号 和 系统 的 密码 。 在 这 种 情况 
下 ， 攻 击 者 可 能 不 会 连续 两 次 尝试 同一 个 账号 ， 而 是 使 用 一 个 密码 尝试 进入 在 多 个 系统 上 发 
现 的 每 一 个 账号 。 如 果 每 一 次 尝试 企图 的 时 间 足 够 长 ， 那 么 攻击 者 在 一 个 账号 上 3 次 失败 所 
花费 的 时 间 就 可 能 使 计时 器 超时 。 唯 一 可 以 识别 这 种 攻击 的 方法 是 将 从 不 同系 统 上 的 日 志 收 
集 到 的 信息 联系 在 一 起 。 

口 策略 监视 

策略 监视 是 攻击 检测 中 一 个 不 容易 引 人 注 意 的 目标 。 将 一 个 IDS 配置 为 进行 策略 监视 的 
目的 就 是 跟踪 检查 符合 或 不 符合 机 构 策略 的 情况 。 在 最 简单 的 情况 下 , 可 以 将 一 个 NIDS 配置 
为 跟踪 所 有 流出 网 络 的 Web 通信 数据 。 这 种 配置 允许 NIDS 跟踪 所 有 不 符合 Internet 使 用 的 策 
略 的 情况 。 如 果 设 置 了 一 组 不 符合 机 构 使 用 标准 的 Web 站 点 ， 那 么 NIDS 可 以 标记 出 所 有 到 
这 些 站 点 的 连接 。 

NIDS 还 可 以 检查 路 由 器 或 防火 墙 配置 。 在 这 种 情况 下 ，NIDS 被 配置 为 查找 路 由 器 或 防 
火 墙 不 允许 通过 的 通信 数据 。 如 果 发 现 了 任何 这 种 通信 数据 ， 则 表明 违反 了 公司 防火 墙 策略 。 

口 策略 增强 

将 IDS 作为 策略 增强 工具 需要 对 策略 监视 进行 进一步 的 配置 。 对 于 策略 增强 ，IDS 被 配 
置 为 在 发 现 违反 策略 的 情况 时 采取 行动 。 在 “策略 监视 ”的 第 一 个 例子 中 ， 策 略 增强 IDS 不 
会 只 是 识别 出 连接 到 被 接受 的 Web 站 点 的 企图 ， 它 还 要 采取 行动 阻止 这 种 连接 。 

口 应 急 响 应 

IDS 不 仅 可 用 于 发 现 突 发 事件 , 而 且 在 突 发 事件 发 生 之 后 , 也 可 以 被 用 作 收集 证 据 和 进行 
记录 的 工具 。 为 了 发 挥 这 种 作用 ，NIDS 可 能 被 设置 为 查找 某 种 连接 并 提供 完整 的 通信 数据 记 
录 。 同 时 ，HIDS 可 能 被 配置 为 保留 与 系统 特定 账号 相关 的 所 有 日 志 条 目的 记录 。 


[2 直上 内 容 ) 


选择 监视 内 容 是 由 IDS 的 目的 和 IDS 的 工作 环境 决定 的 。 例 如 ， 如 果 IDS 的 目的 是 检测 
攻击 ， 且 位 于 公司 防火 墙 外 部 的 Intemet 上 ， 则 需要 IDS 监视 进入 防火 墙 的 所 有 通信 数据 ， 以 
便 发 现 进入 的 攻击 。 另 一 种 情况 ,IDS 可 能 位 于 防火 墙 内 部 ， 只 是 为 了 识别 所 有 成 功 入 侵 防 火 
墙 的 攻击 ， 在 这 种 情况 下 ， 应 该 忽略 流出 的 通信 数据 ， 如 图 11-4 所 示 。 


传 出 的 通信 数据 无 关 紧要 


来 自 Internet 的 攻击 一 些 攻击 穿 过 了 防火 墙 
eB 司 
防火 墙 


如 果 关心 所 
如 果 关 心 所 有 穿 过 防火 


有 的 攻击 通 

人 2 

将 NIDS 放 在 将 NIDS 放 在 

AS 防火 墙 内 部 
网 络 IDS 网 络 IDS 


11-4 选择 监视 内 容 的 例子 


表 11-1 提供 了 在 特定 策略 下 监视 内 容 的 例子 。 
表 11-1 监视 特定 IDS 策略 的 信息 的 示例 


进入 潜在 目标 系统 的 所 有 通信 数据 〈 防 火 “不 成 功 的 登录 企图 


攻击 检测 


墙 、Web 服务 器 、 应 用 服务 器 等 ) 连接 企图 
从 远程 系统 的 成 功 登录 

防洪 攻击 与 攻击 检测 相同 与 攻击 检测 相同 
检测 策略 违反 情况 。 来 自 客户 系统 的 所 有 HTTP 通信 数据 成 功 的 HTTP 连接 

来 自 客户 系统 的 所 有 FTP 通信 数据 成 功 的 FTP 连接 

己 知 游戏 端口 的 连接 文件 下 载 
使 用 策略 的 增强 与 检测 策略 违反 情况 相同 与 检测 策略 违反 情况 相同 
增强 连接 策略 增强 违反 连接 策略 的 所 有 通信 数据 从 禁止 的 地 址 或 端口 发 出 的 成 功 连接 


对 监视 内 容 的 选择 将 决定 检测 器 的 位 置 。 可 以 将 检测 器 放 在 防火 墙 之 外 、 内 部 网 络 中 、 
敏感 系统 或 专门 用 来 收集 和 处 理 日 志文 件 的 系统 上 。 在 确定 IDS 检测 器 的 位 置 时 ， 要 记 住 的 
关键 一 点 是 检测 器 必须 可 以 从 网 络 通信 数据 或 日 志 条 目 中 发 现 值得 注意 的 事件 。 如 果 值 得 注 
意 的 事件 不 会 通过 防火 墙 ， 那么 将 NIDS 检测 器 放 在 防火 墙 内 就 不 是 一 种 好 的 选择 。 同 样 ， 如 
果 只 在 Windows NT 网 络 的 主 域 控制 器 上 记录 值得 注意 的 事件 , 则 必须 将 HIDS 软件 安装 在 主 
域 控制 器 上 ， 即 使 攻击 者 可 能 实际 位 于 网 络 某 处 的 工作 站 上 ， 也 应 该 如 此 。 


与 选择 监视 内 容 一 样 ， 选 择 如 何 响应 是 由 IDS 的 目的 决定 的 。 当 事件 发 生 时 ， 可 以 选择 
被 动 地 响应 〈 一 种 不 直接 阻止 攻击 者 行动 的 响应 )， 也 可 以 选择 主动 响应 〈 试 图 直接 阻止 攻击 
者 行动 的 响应 )。 被 动 响应 并 不 意味 着 让 事件 继续 ， 而 是 选择 不 让 IDS 本 身 采 取 直 接 行动 ， 同 
时 还 要 权衡 选择 自动 响应 还 是 人 工 响应 。 


临界 值 为 误 报 提供 了 保护 ， 加 强 了 IDS 策略 的 整体 有 效 性 。 临 界 值 用 于 从 有 目的 的 事件 
中 过 滤 掉 突 发 事件 。 例 如 ， 一 位 员工 可 能 通过 搜索 引擎 所 提供 的 链接 连接 到 一 个 与 业务 无 关 
的 Web 站 (该 员工 可 能 进行 了 合法 的 搜索 ,但 是 由 于 搜索 参数 有 误 而 返回 了 不 合适 的 Web 站 
点 )。 在 这 种 情况 下 ， 单 一 事件 可 能 不 会 造成 IDS 发 送 报告 ， 只 会 在 调查 无 害 的 行为 上 浪费 
资源 。 

同样 ， 应 该 将 检测 攻击 的 临界 值 设置 为 忽略 低级 别 的 检测 或 单个 信息 收集 事件 。 这 种 事 
件 可 能 包括 了 一 个 检索 (Finger) 员工 的 企图 。Finger 是 一 个 UNIX 系统 中 的 常见 程序 ， 经 常 
被 用 来 检查 正确 的 邮件 地 址 或 获得 公 钥 。 

IDS 的 合适 临界 值 的 选择 直接 取决 于 可 能 出 现 的 事件 类 型 和 违反 策略 的 类 型 .不 可 能 给 出 
一 组 普遍 适用 的 绝对 临界 值 。 不 过 ， 可 以 找 出 一 组 在 设置 临界 值 时 必须 考虑 的 参数 。 这 些 参 
数 包括 以 下 几 种 。 

口 用 户 技术 级 别 ”大 量 的 用 户 错误 可 以 造成 大 量 的 错误 警报 。 

口 网 络 速度 ”对 于 需要 某 些 数据 包 在 特定 时 间 内 出 现 的 事件 而 言 ， 低 速 网 络 可 以 造成 错 


误 的 警报 。 
口 预期 的 网 络 连接 ”如 果 将 IDS 配置 为 对 某 些 将 在 正常 情况 下 出 现 的 网 络 连接 报警 ， 那 


么 就 会 产生 大 量 的 错误 报警 。 

口 管理 员 / 安 全 负责 人 的 工作 负荷 安全 人 员 的 高 负荷 可 能 需要 很 高 的 临界 值 , 以 减少 错 
误 报警 的 次 数 。 

口 检测 器 敏感 度 ” 如 果 检 测 器 非常 敏感 ， 则 需要 将 临界 值 设 置 得 高 一 些 ， 以 避免 产生 大 
量 的 错误 报警 。 


口 安全 程序 的 有 效 性 ”如果 机 构 的 安全 程序 非常 有 效 ， 那 么 即使 IDS 漏 掉 一 些 攻击 也 是 
可 以 接受 的 ， 因 为 在 网 络 中 还 存在 其 他 防御 手段 。 

口 现 有 的 薄弱 点 ”没有 理由 对 网 络 上 不 存在 的 薄弱 点 实施 的 攻击 进行 报警 。 

口 系统 和 信息 的 敏感 度 ” 机 构 中 使 用 的 信息 越 敏 感 ， 警 报 的 临界 值 就 应 该 设置 得 越 低 。 

口 误 报 的 后 果 “如 果 误 报 的 后 果 非 常 严 重 ， 则 应 该 将 临界 值 设 置 得 高 一 些 ， 从 而 减少 错 
误 指示 。 

口 漏 报 的 后 果 “相反 ， 如 果 漏 报 ( 或 漏 掉 事件 ) 的 后 果 非 常 严重 ， 则 应 该 将 临界 值 设 置 
得 低 一 些 。 

临界 值 是 与 机 构 密切 相关 的 。 虽 然 可 以 提供 一 般 性 的 指导 ， 但 是 每 个 机 构 都 必须 根据 上 

面 提供 的 参数 确定 自己 的 临界 值 。 


一 旦 制订 了 IDS 策略 并 得 出 初始 的 临界 值 设 置 ， 就 应 该 安放 带 有 最 终 策略 的 IDS， 并 减 
少 当前 措施 。 在 一 段 时 间 内 应 该 对 IDS 进行 严密 的 监视 ， 以 评估 临界 值 。 这 样 ， 就 可 以 获得 
对 策略 的 经 验 而 不 会 干扰 正常 的 网 络 通信 或 计算 机 连接 。 

同样 重要 的 是 ， 在 该 试验 阶段 ， 应 该 小 心 进行 IDS 所 做 的 任何 调查 ， 注 意 评估 IDS 所 提 
供 的 信息 的 准确 性 。 


11.4.2 IDS 部 署 


基于 主机 的 IDS 比较 准确 ， 而 基于 网 络 的 IDS 更 及 时 ， 综 合 部 署 这 两 种 IDS 能 给 网 络 带 
来 更 大 的 安全 性 。 

首先 ， 部 署 一 个 基础 的 混合 型 入 侵 检 测 系统 时 ， 应 把 基于 网 络 的 入 侵 检测 安装 于 网 络 信 
息 集 中 通过 的 地 方 如 中 心 交 换 机 、 集 线 器 等 上 面 ， 对 所 有 通过 的 网 络 数据 进行 收集 、 分 析 ， 
并 对 攻击 行为 作出 响应 。 而 基于 主机 的 入 侵 检测 系统 应 安装 于 受 保护 的 主机 上 ， 收 集 信息 ， 
对 主机 攻击 行为 作出 响应 。 

联合 使 用 基于 主机 和 基于 网 络 两 种 方式 ， 会 达到 更 好 的 检测 效果 。 比 如 基于 主机 的 IDS 
使 用 系统 日 志 作为 检测 依据 ， 因 此 它们 在 确定 攻击 是 否 已 经 取得 成 功 时 与 基于 网 络 的 检测 系 
统 相 比 具有 更 高 的 准确 性 。 人 们 完全 可 以 使 用 基于 网 络 的 IDS 提供 早期 报警 ， 而 使 用 基于 主 
机 的 IDS 来 验证 攻击 是 否 取得 成 功 。 在 下 一 代 的 入 侵 检测 系统 中 ， 将 把 现在 的 基于 网 络 和 基 
于 主机 这 两 种 检测 技术 很 好 地 集成 起 来 ， 提 供 集成 化 的 攻击 签名 、 检 测 、 报 告 和 事件 关联 
功能 。 

其 次 ， 部 署 基 于 硬件 的 入 侵 检测 系统 应 并 联 在 网 络 中 ， 通 过 旁 路 监听 的 方式 实时 地 监视 


网 络 中 的 流量 。 这 样 能 对 网 络 的 运行 和 性 能 无 任何 影响 地 判断 其 中 是 否 含有 攻击 的 企图 ， 并 
通过 各 种 手段 向 管理 员 报警 ， 不 但 可 以 发 现 来 自 外 部 的 攻击 ， 也 可 以 发 现 内 部 的 恶意 行为 。 

小 型 网 络 的 IDS 部 署 如 图 11-5 所 示 。 网 络 安全 由 IDS 检测 引擎 、IDS 管理 主机 两 部 分 组 
成 。 检 测 引擎 在 检测 到 攻击 时 ， 引 擎 能 即刻 作出 响应 ， 如 进行 告警 /通知 〈 向 控制 台 告 警 、 向 
安全 管理 员 发 E-mail、SNMP Trap、 查 看 实时 会 话 和 通报 其 他 控制 台 ，， 记 录 现 场 ( 记 录 事 件 
日 志 及 整个 会 话 ) ， 采 取 安 全 响应 行动 (终止 入 侵 连 接 、 调 整 网 络 设备 配置 如 防火 墙 、 执 行 
特定 的 用 户 响应 程序 ) 。IDS 管理 主机 则 可 以 接受 实时 报警 ， 查 询 引擎 中 的 数据 ， 进 行 统计 


分 析 。 
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图 11-5 小 型 网 络 的 IDS 部 署 


在 大 中 型 网 络 的 安全 建设 中 ， 应 增设 检测 引擎 中 心机 ， 如 图 11-6 所 示 。 这 是 由 于 大 中 型 
网 络 的 拓扑 结构 复杂 ， 地 域 分 布 广 ， 数 据 流量 大 ， 需 要 使 用 多 个 引擎 才能 对 整个 网 络 进行 监 
控 。 对 此 专门 增设 一 台中 心机 ， 由 它 负责 收集 和 保存 各 引擎 检测 到 的 数据 ， 并 进行 二 次 分 析 ， 
为 管理 员 提供 综合 分 析 报 告 。 管 理 员 的 指令 也 可 以 通过 中 心机 自动 下 发 到 各 引擎 中 去 执行 ， 
从 而 提高 管理 效率 。 
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入 侵 检 测 系统 


目前 ， 大 部 分 的 IDS 产品 由 入 侵 检测 引擎 和 管理 控制 台 组 成 ， 在 具体 应 用 时 可 以 根据 网 
络 结构 和 需求 做 不 同 的 部 署 。 一 般 是 部 署 在 需要 重点 保护 的 部 位 ， 如 企业 内 部 重要 服务 器 所 
在 的 子 网 ， 对 该 IDS 的 发 展 趋势 网 中 的 所 有 连接 进行 监控 。 根 据 网 络 的 拓扑 结构 的 不 同 ， 入 
侵 检 测 系统 的 监听 端口 可 以 接 在 共享 媒质 的 集线器 或 交换 机 的 镜像 端口 《SpanPort) 上 ， 或 专 
为 监听 所 增设 的 分 接 器 (Tap) 上 。 


11.4.3 司 答 心 篇 


加 癌 铭 惟一 个 甘于 司 委 的 I]DS 


通常 ， 一 个 企业 或 机 构 在 准备 构建 入 侵 检 测 系统 时 ， 往 往 选择 从 基于 网 络 的 IDS 入 手 ， 
因为 网 上 有 很 多 这 方面 的 开放 源 代码 和 资料 ， 实 现 起 来 比较 容易 ， 且 适应 能 力 强 。 有 了 简单 
网 络 IDS 的 开发 经 验 ， 再 向 基于 主机 的 IDS、 分 布 式 IDS、 智 能 IDS 等 方面 迈进 的 难度 就 小 
了 很 多 。 在 此 ， 以 基于 网 络 的 IDS 为 例 ， 介 绍 典 型 的 IDS 开发 思路 。 

根据 CIDF 规范 ， 可 从 功能 上 将 入 侵 检测 系统 划分 为 4 个 基本 部 分 : 数据 采集 子 系统 、 数 
据 分 析 子 系统 、 控 制 台子 系统 、 数 据 库 管 理子 系统 。 

具体 实现 起 来 ， 一 般 都 将 数据 采集 子 系统 〈 又 称 探测 器 ) 和 数据 分 析 子 系统 在 Linux 或 
UNIX 平台 上 实现 ， 称 之 为 数据 采集 分 析 中 心 ; 将 控制 台子 系统 在 Windows 平台 上 实现 ， 数 
据 库 管理 子 系统 基于 Access 或 其 他 功能 更 强大 的 数据 库 ， 多 跟 控 制 台子 系统 结合 在 一 起 ， 称 
之 为 控制 管理 中 心 。 在 此 以 Linux 和 Windows Server 2008 平台 为 例 介 绍 数据 采集 分 析 中 心 和 
控制 管理 中 心 的 实现 ， 并 按照 如 下 步骤 构建 一 个 基于 网 络 的 入 侵 检 测 系统 。 


nn 获取 libpcap 和 tcpdump 一 


审计 踪迹 是 IDS 的 数据 来 源 ， 而 数据 采集 机 制 是 实现 IDS 的 基础 ， 否 则 入 侵 检 测 就 无 从 

数据 采集 子 系 统 位 于 IDS 的 最 底层 ， 其 主要 目的 是 从 网 络 环境 中 获取 事件 ， 并 向 其 他 部 
分 提供 事件 。 目 前 比较 流行 的 做 法 是 使 用 libpcap 和 tcpdump 检测 工具 ， 将 网 卡 置 于 “混杂 ” 
模式 ， 捕 获 某 个 网 段 上 所 有 的 数据 流 。 

libpcap 是 UNIX 或 Linux 从 内 核 捕获 网 络 数据 包 的 必 备 工具 ， 它 是 独立 于 系统 的 API 接 
口 ， 为 底层 网 络 监控 提供 了 一 个 可 移植 的 框架 ， 可 用 于 网 络 统计 收集 、 安 全 监控 、 网 络 调试 
等 应 用 。tcpdump 是 用 于 网 络 监控 的 工具 ， 可 能 是 UNIX 上 最 著名 的 sniffer 了 ， 它 的 实现 基于 
libpcap 接口 ， 通 过 应 用 布尔 表达 式 打印 数据 包 首 部 ， 有 具体 执行 过 滤 转 换 、 包 获取 和 包 显 示 等 
功能 。tcpdump 可 以 描述 系统 的 正常 行为 ， 并 最 终 识别 出 那些 不 正常 的 行为 ， 当 然 ， 它 只 是 益 
于 收集 关于 某 网 段 上 的 数据 流 〈 网 络 流 类 型 、 连 接 等 ) 信息 ， 至 于 分 析 网 络 活动 是 否 正常 ， 
则 是 程序 员 和 管理 员 所 要 做 的 工作 。 

libpcap 和 tcpdump 在 网 上 广 为 流传 ， 开 发 者 可 以 到 相关 网 站 下 载 。 


站 2. 构建 并 配置 探测 器 ， 实 现 数据 采集 功能 而 
首先 应 根据 自己 网 络 的 具体 情况 ， 选 用 合适 的 软件 及 硬件 设备 ， 如 果 网 络 数据 流量 很 小 ， 


用 一 般 的 计算 机 安装 Linux 即 可 , 如 果 所 监控 的 网 络 流量 非常 大 , 则 需要 用 一 台 性 能 较 高 的 计 
算 机 。 接 着 ， 在 Linux 服务 器 上 开 出 一 个 日 志 分 区 ， 用 于 采集 数据 的 存储 。 
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其 次 ， 创 建 libpcap 库 。 从 网 上 下 载 的 通常 都 是 libpcap.tar.z 的 压缩 包 ， 所 以 应 先 将 其 解 
压缩 、 解 包 ， 然 后 执行 配置 脚本 ， 创 建 适合 于 自己 系统 环境 的 Makefile， 再 用 make 命令 创建 
libpcap 库 。libpcap 安装 完毕 之 后 ， 将 生成 一 个 libpcap 库 、 三 个 include 文件 和 一 个 man 页 面 
〈 即 用 户 手 册 ) 。 

然后 ， 创 建 ttpdump。 与 创建 libpcap 的 过 程 一 样 ， 先 将 压缩 包 解 压缩 、 解 包 到 与 libpcap 
相同 的 父 目录 下 ， 然 后 配置 、 安 装 tcpdump。 如 果 配 置 、 创 建 、 安 装 等 操作 一 切 正 常 的话 ， 此 
时 ， 系 统 已 经 能 够 收集 到 网 络 数据 流 了 。 


一 3， 建立 数据 分 析 模 块 一 


网 上 有 一 些 开放 源 代码 的 数据 分 析 软 件 包 ， 这 给 构建 数据 分 析 模 块 提供 了 一 定 的 便利 条 
件 , 但 同时 有 很 大 的 局 限 性 ， 要 开发 一 个 真正 功能 强大 、 实 用 的 IDS， 通常 都 需要 开发 者 自己 
动手 动脑 设计 数据 分 析 模 块 ， 这 也 是 整个 IDS 的 工作 重点 。 

数据 分 析 模 块 相当 于 IDS 的 大 脑 ， 它 必须 具备 高 度 的 “智慧 ”和 “判断 能 力 ” 所以， 在 
设计 此 模块 之 前 ， 开 发 者 需要 对 各 种 网 络 协议 、 系 统 漏洞 、 攻 击 手法 、 可 疑 行 为 等 有 一 个 很 
清晰 、 深 入 的 研究 ， 然 后 制定 相应 的 安全 规则 库 和 安全 策略 ， 再 分 别 建立 滥用 检测 模型 和 异 
常 检测 模型 ， 让 机 器 模拟 自己 的 分 析 过 程 ， 识 别 确 知 特征 的 攻击 和 异常 行为 ， 最 后 将 分 析 结 
果 形 成 报警 消息 ， 发 送 给 控制 管理 中 心 。 

设计 数据 分 析 模 块 的 工作 量 很 大 ， 且 考虑 到 黑客 攻击 手段 日 益 翻新 ， 所 以 ， 这 注定 是 一 
个 没有 终点 的 过 程 ， 需 要 不 断 地 更 新 、 升 级 、 完 善 。 在 这 里 需要 特别 注意 3 个 问题 。 

口 应 优化 检测 模型 和 算法 的 设计 ， 确 保 系统 的 执行 效率 。 

口 安全 规则 的 制定 要 充分 考虑 包容 性 和 可 扩展 性 ， 以 提高 系统 的 伸缩 性 。 

口 报警 消息 要 遵循 特定 的 标准 格式 ， 增 强 其 共享 与 互 操作 能 力 ， 切 忌 随 意 制 定 消息 格式 

的 不 规范 做 法 。 


4 构建 控制 台子 系统 “| 


控制 台子 系统 负责 向 网 络 管理 员 汇报 各 种 网 络 违规 行为 ， 并 由 管理 员 对 一 些 恶 意 行为 采 
取 行动 (如 阻 断 \ 跟 踪 等 )。 由 于 Linux 或 UNIX 平 台 在 支持 界面 操作 方面 远 不 如 常用 的 Windows 
产品 流行 , 所 以 为 了 把 IDS 做 成 一 个 通用 、 易 用 的 系统 , 笔者 建议 将 控制 台子 系统 在 Windows 
系列 平台 上 实现 。 

控制 台子 系统 的 主要 任务 有 两 个 。 

口 管理 数据 采集 分 析 中 心 ， 以 友好 、 便 于 查询 的 方式 显示 数据 采集 分 析 中 心 发 送 过 来 的 
警报 消息 。 

口 根据 安全 策略 进行 一 系列 的 响应 动作 ， 以 阻止 非法 行为 ， 确 保 网 络 的 安全 。 

控制 台子 系统 的 设计 重点 是 : 警报 信息 查询 、 探 测 器 管理 、 规 则 管理 及 用 户 管理 。 

口 警报 信息 查询 网络 管理 员 可 以 使 用 单一 条 件 或 复合 条 件 进行 查询 ， 当 警报 信息 数量 
庞大 、 来 源 广 泛 时 ， 系 统 需 要 对 警报 信息 按照 危险 等 级 进行 分 类 ， 从 而 突出 显示 网 络 
管理 员 需 要 的 最 重要 信息 。 

口 探测 器 管理 ”控制 台 可 以 一 次 管理 多 个 探测 器 ( 包括 启动 、 停 止 、 配置、 查看 运行 状 
态 等 )， 查 询 各 个 网 段 的 安全 状况 ， 针 对 不 同情 况 制定 相应 的 安全 规则 。 
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口 规则 库 管 理 功能 “为 用 户 提供 一 个 根据 不 同 网 段 具体 情况 灵活 配置 安全 策略 的 工具 ， 
如 一 次 定制 可 应 用 于 多 个 探测 器 、 默 认 安全 规则 等 。 

口 用 户 管理 对 用 户 权 限 进行 严格 的 定义 ， 提 供 口 令 修改 、 添 加 用 户 、 删 除 用 户 、 用 户 
权限 配置 等 功能 ， 有 效 保护 系统 使 用 的 安全 性 。 


5。 构建 数据 库 管理 子 系统 一 四 


一 个 好 的 入 侵 检测 系统 ， 不 仅仅 为 管理 员 提 供 实 时 、 丰 富 的 警报 信息 ， 还 应 详细 地 记录 
现场 数据 ， 以 便于 日 后 需要 取证 时 重建 某 些 网 络 事件 。 

数据 库 管理 子 系统 的 前 端 程序 ， 通 常 与 控制 台子 系统 集成 在 一 起 ， 用 Access 或 其 他 数据 
库存 储 警 报信 息 和 其 他 数据 。 该 模块 的 数据 来 源 有 两 个 : 一 是 数据 分 析 子 系统 发 来 的 报警 信 
息 及 其 他 重要 信息 ; 二 是 管理 员 经 过 条 件 查询 后 对 查询 结果 处 理 所 得 的 数据 ， 如 生成 的 本 地 
文件 、 格 式 报表 等 。 


CU6= 联 调 

以 上 几 步 完成 之 后 ， 一 个 IDS 的 最 基本 框架 已 被 实现 。 但 要 使 该 IDS 顺利 地 运转 起 来 ， 
还 需要 保持 各 个 部 分 之 间 安 全 、 顺 畅 地 通信 和 交互 ， 这 就 是 联 调 工作 所 要 解决 的 问题 。 

首先 ， 要 实现 数据 采集 分 析 中 心 和 控制 管理 中 心 之 间 的 通信 ， 两 者 之 间 是 双向 的 通信 。 
控制 管理 中 心 显示 、 整 理 数据 采集 分 析 中 心 发 送 过 来 的 分 析 结 果 及 其 他 信息 ， 数 据 采 集 分 析 
中 心 接收 控制 管理 中 心 发 来 的 配置 、 管 理 等 命令 。 注 意 确保 两 者 之 间 通 信 的 安全 性 ， 最 好 对 
通信 数据 流 进行 加 密 操作 ， 以 防 被 窃听 或 算 改 。 同 时 ， 控 制 管 理 中 心 的 控制 台子 系统 和 数据 
库 子 系统 之 间 也 有 大 量 的 交互 操作 ， 如 警报 信息 查询 、 网 络 事件 重建 等 。 

联 调 通过 之 后 ， 一 个 基本 的 IDS 就 拱 建 完毕 。 后 面 要 做 的 就 是 不 断 完善 各 部 分 功能 ， 尤 
其 是 提高 系统 的 检测 能 力 。 


11.5 1DS 的 发 展 方向 


IDS 作为 网 络 安全 架构 中 的 重要 一 环 , 其 重要 地 位 有 目 共 睹 。 随 着 技术 的 不 断 完 善 和 更 新 ， 
IDS 正 呈 现 出 新 的 发 展 态势 。IPS 〈 入 侵 防御 系统 ) 的 出 现 ， 应 该 说 是 IDS 技术 的 一 种 新 发 展 
趋势 。IPS 技术 在 IDS 监测 的 功能 上 又 增加 了 主动 响应 的 功能 , 一 旦 发 现 有 攻击 行为 则 立即 响 
应 ， 主 动 切断 连接 。 

除了 IPS， 也 有 厂商 提出 了 IMS (入 侵 管理 系统 ) 。IMS 是 一 个 过 程 ， 它 在 入 侵 行 为 未 发 
生前 要 考虑 网 络 中 有 什么 漏洞 ， 判 断 有 可 能 会 形成 什么 攻击 行为 和 面临 的 入 侵 危险 ; 在 行为 
发 生 时 或 即将 发 生 时 ， 检 测 出 入 侵 行为 ， 并 主动 阻 断 、 终 止 入 侵 行为 ; 在 入 侵 行为 发 生 后 ， 
还 要 深层 次 分 析 入 侵 行为 ， 通 过 关联 分 析 ， 来 判断 是 否 还 会 出 现下 一 个 攻击 行为 。IMS 符合 
IDS 向 管理 系统 发 展 的 方向 ， 也 是 IDS 未 来 的 一 个 发 展 方向 。 综 合 这 些 新 的 发 展 动态 ， 可 以 
了 解 未 来 IDS 的 发 展 趋势 将 表现 如 下 总 体 特征 。 


(CU 能 化 四 


入 侵 检 测 系统 的 核心 是 分 析 能 力 。 未 来 的 入 侵 检 测 系 统 应 该 能 够 进行 基于 事件 语义 而 不 


是 基于 事件 语法 的 检测 ， 这 种 方法 将 弥补 当前 在 安全 政策 和 检测 政策 之 间 的 差距 ， 是 对 当前 
检测 办 法 的 一 个 极 大 的 改进 。 在 当前 的 检测 中 ， 检 测 目标 需要 复杂 的 、 特 定 的 与 操作 系统 相 
关 的 检测 特征 。 


i 


随 着 网 络 攻击 手段 向 分 布 式 方向 发 展 (如 目前 出 现 的 分 布 式 拒绝 服务 攻击 DDoS)， 且 采 
用 了 各 种 数据 处 理 技术 ， 其 破坏 性 和 隐蔽 性 也 越 来 越 强 。 相 应 地 ， 入 侵 检测 系统 也 在 向 分 布 
式 结构 发 展 ， 采 用 分 布 收集 信息 、 分 布 处 理 、 多 方 协作 的 方式 ， 将 基于 主机 的 IDS 和 基于 网 
络 的 IDS 结合 使 用 ， 构 筑 面 向 大 型 网 络 的 IDS。 其 中 的 关键 技术 是 协作 式 入 侵 检测 技术 ， 包 
括 同一 系统 中 不 同 入 侵 检测 部 件 之 间 的 协作 ， 尤 其 是 主机 型 和 网 络 型 入 侵 检测 部 件 之 间 的 协 
作 ， 以 及 异 构 平 台 之 间 、 不 同安 全 工具 之 间 的 协作 、 不 同 厂家 的 安全 产品 之 间 的 协作 。 


截获 网 络 的 每 一 个 数据 包 ， 并 分 析 、 匹 配 其 中 是 否 具有 某 种 攻击 的 特征 需要 花费 时 间 和 
系统 资源 。 随 着 网 络 带宽 的 增 大 ，1000MB 以 太 网 、 光 纤 技 术 的 大 量 应 用 使 得 网 络 入 侵 检测 系 
统 的 处 理 能 力 跟 不 上 处 理 需 求 ， 因 此 ， 在 高 速 网 络 环境 中 进行 入 侵 检 测 是 当前 迫切 需要 解决 
的 问题 。 


基于 硬件 的 入 侵 检测 系统 和 安全 网 络 工具 箱 集成 在 一 起 也 是 一 个 趋势 ， 这 种 设备 定位 于 
家 庭 市 场 和 小 企业 市 场 ， 以 使 客户 能 够 处 理 与 持续 地 连接 到 Intemet 上 相关 的 问题 。 

总 之 ， 入 侵 检测 是 一 门 综合 性 技术 ， 既 包括 实时 检测 技术 ， 也 有 事后 分 析 技 术 。 由 于 攻 
击 的 天 然 不 确定 性 ， 单 一 的 IDS 产品 可 能 无 法 做 到 面面俱到 。 因 此 ，IDS 的 未 来 发 展 必然 是 
多 元 化 的 。 只 有 通过 不 断 改进 和 完善 技术 ， 才 能 更 好 地 协助 网 络 进行 安全 防御 。 


11.6 ”操作 实例 


11.8.1 揭 祖 裤 列 一 一 起 用 Sax 入 蝶 往 河 系 入 


入 侵 检测 系统 是 一 种 积极 主动 的 网 络 安全 防护 工具 ， 它 通过 对 网 络 中 所 有 传输 的 数据 进 
行 智能 分 析 和 检测 ， 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 ， 在 
网 络 系统 受到 危害 之 前 拦截 和 阻止 入 侵 。 


口 启用 入 侵 检测 系统 。 
口 检测 网 络 状况 。 
口 防止 网 络 入 侵 。 
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@ 2. 实例 步骤 和 

(1) 在 一 个 网 络 中 ， 有 一 台 服 务 器 和 一 台 客 户 机 ， 其 IP 分 别 是 :“192.168.0.200” 和 
“192.168.0.15”， 拓 扑 结构 示意 图 如 图 11-7 所 示 。 

(2) 在 服务 器 桌面 双击 Sax 应 用 程序 图 标 ， 在 该 程序 的 主 界面 中 ， 单 击 【 专 家 检测 】 按 
钮 总 如 图 11-8 所 示 。 B53) 


哩 国生 及 TS 
话 配器 旋 而 守 全 第 上 专家 检测 升 加 第 时 有 


统计 信息 [会话 [事件 | 日志 


客户 机 
192.168.0.15 


持续 时 间 和 kBTCF 这 摘 
二 区 的 数 提 也 日 成 建立 的 TCF 
按 的 娄 据 包 被 ;ESTcF 这 接 
天守) 地 所 有 强行 电 开 的 Tc? 连 六 


服务 器 
192.168.0.200 


图 11-7 拓扑 结构 示意 图 图 11-8 Sax 主 界面 


(3) 在 弹出 的 对 话 框 的 左 侧 窗 格 中 ， 展 开 ICMP 节点 ， 启 用 【ICMP_Ping 事件 】 复 选 框 ， 
并 单 击 【关闭 】 按 钮 ， 如 图 11-9 所 示 。 
(4) 在 Sax 主 界面 中 ， 单 击 【 开 始 】 按 钮 铝 ， 如 图 11-10 所 示 。 


WD Ns 
和 E 设置 加。 帮助 和 技术 支持 (0 
局 © 


团 加 二 Ee @ 
这 可 溢 选 大 安全 弟 申 专家 榨 草 升 织 第 明 加 
统计 信息 [会 话 [事件 [日志 
只 | 国 国 - 记录 数 
证 关上 
一 束 据 也 绞 计 
S64 
Ga 


号 于 ICWP 加 | 

1CMP_ 对 服务 类 型 和 网 络 重 定向 严重 程度 © -- 般 

ICMP 重 定向 主机 响应 配置 方案 。 仅 记录 日 志 ( 癸 省 ) 
ICMP 重 定向 PR 络 

1CMP- 优 寺 权 中 止 生效 

ICMP_ 主 机 第 权 

ICMFP_ 由 于 过 所 通信 视 强 4 禁止 | 

ICMP_TO5 术 误 全 主机 不 可 这 [S 


1 二 -5 
5 

S12-1023 
T0215I7 


初 蛤 化 TC 连接 
成 功 建 立 81CP 这 接 
褐 拒绝 HTCF 连 拘 
强行 断 开 H1CF 过 接 


图 11-9 查看 联机 的 磁盘 图 11-10 开始 检测 
(5) 在 弹出 的 对 话 框 中 ， 启 用 Intel (R) PRO/1000 MT Network Connection 复 选 框 ， 并 单 


第 四 篇 “防火墙 安 全 体系 


站 
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【确定 】 按 钮 ， 如 图 11-11 所 示 。 
(6) 在 客户 机 桌面 执行 【开始 】| 【运行 】 命 令 ， 在 弹出 的 对 话 框 中 输入 cmd 命令 ， 并 单 
击 【 确 定 】 按 钮 ， 如 图 11-12 所 示 。 
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图 11-11 启用 计算 机 网 卡 图 11-12 运行 cmd 命令 


(7) 在 【命令 提示 符 】 窗 口中 输入 ping -t 192.168.0.200 (不 断 地 对 服务 器 进行 泛 红 ping) 
命令 ， 如 图 11-13 所 示 。 
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图 11-13 命令 提示 符 


(8) 在 Sax 主 界面 中 ， 单 击 【停止 】 按 钮 恕 〈 停 止 检测 )。 在 右 方 窗 格 中 ， 选 择 【 会 话 】 
选项 卡 〈 检 测 到 客户 机 对 服务 器 的 防洪 会 话 )， 如 图 11-14 所 示 。 
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11-14 查看 会 话 记 录 


查看 【事件 】 选 项 卡 ， 可 以 看 到 ICMP-PING 事件 ， 证 明了 入 侵 检测 系统 可 以 
检测 出 网 络 被 攻击 的 迹象 。 


第 五 篇 “加密 技术 及 备份 技术 


随 着 资源 共享 的 进一步 加 强 ， 随 之 而 来 的 信息 安全 问题 也 日 益 突出 。 而 身份 认证 、 权 限 
和 访问 控制 又 是 网 络 应 用 安全 的 两 个 重要 内 容 ， 身 份 认证 与 访问 控制 的 使 用 ， 能 很 好 地 保证 
系统 的 安全 性 、 可 访问 性 和 稳定 性 。 目 前 ， 公 钥 基础 设施 PKI (Public Key Infrastructure) 在 
国内 外 已 经 得 到 广泛 的 应 用 。 如 安全 电子 邮件 、Web 访问 、 虚 拟 专用 网 络 VPN 和 本 地 简单 登 
录 认 证 ， 以 及 电子 商务 、 电 子 政务 、 网 上 银行 和 网 上 证 券 交 易 等 各 种 强 认 证 系统 都 普遍 应 用 
了 了 PKI 技术 。 

公 钥 基础 设施 是 利用 公 钥 概念 和 加 密 技术 为 网 上 通信 提供 的 符合 标准 的 一 整套 安全 基础 
平台 。 公 钥 基 础 设施 能 为 各 种 不 同安 全 需求 的 用 户 提供 各 种 不 同 的 网 上 安全 服务 ， 主 要 有 身 
份 识别 与 鉴别 (认证 )、 数 据 保密 性 、 数 据 完整 性 、 不 可 否认 性 及 时 间 惟 服务 等 。 用 户 利用 PKI 
所 提供 的 这 些 安全 服务 进行 安全 通信 ， 以 及 不 可 否认 的 安全 电子 交易 活动 。 


> PKI 基础 

> PKI 服务 和 实现 

> 熟悉 PKI 的 体系 结构 

> 了 解 属性 权威 和 权限 管理 

> 熟悉 基于 PMI 建立 的 安全 应 用 


12.1 PKI 基础 


PKI 是 一 种 遵循 既定 标准 的 密 钥 管理 平台 , 它 能 够 为 所 有 网 络 应 用 提供 加 密 和 数字 签名 等 
密码 服务 及 所 必需 的 密 钥 和 证 书 管理 体系 , 简单 来 说 , PKI 就 是 利用 公 钥 理论 和 技术 建立 的 提 
供 安全 服务 的 基础 设施 。PKI 技术 是 信息 安全 技术 的 核心 ， 也 是 电子 商务 的 关键 和 基础 技术 。 


12.1.1 网 络 安全 对 于 PKI 的 需求 


随 着 网 络 技术 和 信息 技术 的 发 展 ， 电 子 商 务 已 逐步 被 人 们 所 接受 ， 并 在 不 断 普 及 。 但 由 
于 各 种 原因 ， 国 内 电子 商务 的 安全 性 却 不 能 得 到 有 效 的 保障 。 在 常规 业务 中 ， 交 易 双方 现场 
交易 ， 可 以 确认 购买 双方 的 身份 。 利 用 商场 开具 的 发 票 和 客户 现场 支付 商品 费用 ， 无 须 担心 
发 生 纠纷 时 无 凭证 可 寻 。 但 通过 网 上 进行 电子 商务 交易 时 ， 由 于 交易 双方 并 不 现场 交易 ， 因 
5， 无 法 确认 双方 的 合法 身份 ， 同 时 交易 信息 是 交易 双方 的 商业 秘密 ， 在 网 上 传输 时 必须 保 


证 安全 性 ， 防 止 信息 被 窃取 ; 双方 的 交易 非 现 场 交 易 ， 一 旦 发 生 纠纷 ， 必 须 能 够 提供 仲裁 。 
因此 ， 在 电子 商务 中 ， 必 须 从 技术 上 保证 双方 在 交易 过 程 中 能 够 实现 身份 认证 、 安 全 传 
输 、 不 可 和 否认 性 、 数 据 完整 性 。 在 采用 数字 证 书 认 证 体系 之 前 ， 交 易 安 全 一 直 未 能 真正 得 到 
解决 。 由 于 数字 证 书 认证 技术 采用 了 加 密 传 输 和 数字 签名 ， 能 够 实现 上 述 要 求 ， 因 此 在 国内 
外 电子 商务 中 ， 都 得 到 了 广泛 的 应 用 。 

PKI 就 是 使 用 最 广泛 的 信息 安全 技术 之 一 。 其 原理 是 通过 数学 加 解密 的 公式 发 展 而 成 。 利 
用 数学 加 解密 公式 可 制 成 两 种 数字 钥匙 。 其 中 ， 一 种 钥匙 叫 公 钥 (Public Key) 公开 发 行 ， 另 
一 种 钥匙 叫 私 钥 (Private Key)， 由 使 用 者 自己 保管 。 在 通过 第 三 方 的 可 信任 机 构 〈 认 证 机 构 ， 
即 CA)， 把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 捆绑 在 一 起 ， 其 中 包括 用 户 名 和 电子 邮件 地 址 
等 信息 ， 以 在 mtermet 网 上 验证 用 户 的 身份 ， 保 证 网 络 数据 传输 的 安全 。 

因此 ， 从 大 的 方面 来 说 ， 所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 ， 都 可 归结 为 PKI 系 
统 的 一 部 分 , PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 ,为 用 户 建立 起 一 个 安全 的 网 络 运行 
环境 ， 使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ， 从 而 保证 网 上 数据 的 
机 密 性 、 完 整 性 、 有 效 性 。 


数据 的 机 密 性 是 指数 据 在 传输 过 程 中， 不 能 被 非 授权 者 偷 看 ; 的 光 可 性 
是 指数 据 在 传输 过 程 中 不 能 被 非法 签 改 ;数据 的 有 效 性 是 指数 据 不 能 被 否认 。 


一 个 有 效 的 PKI 系统 必须 是 安全 的 和 透明 的 ， 用 户 在 获得 加 密 和 数字 签名 服务 时 ， 不 需 
要 详细 地 了 解 PKI 的 内 部 运作 机 制 。 在 一 个 典型 、 完 整 和 有 效 的 PKI 系统 中 ， 除 证 书 的 创建 
和 发 布 ， 特 别 是 证 书 的 撤销 外 ， 一 个 可 用 的 PKI 产品 还 必须 提供 相应 的 密 钥 管理 服务 ， 包 括 
密 钥 的 备份 、 恢 复 和 更 新 等 。 密 钥 管理 系统 将 极 大 影响 一 个 PKI 系统 的 规模 、 可 伸缩 性 和 在 
协同 网 络 中 的 运行 成 本 。 在 一 个 企业 中 ,PKI 系统 必须 有 能 力 为 一 个 用 户 管理 多 对 密 钥 和 证 书 ; 
能 够 提供 安全 策略 编辑 和 管理 工具 ， 如 密 钥 周期 和 密 钥 用 途 等 。 

PKI 作为 一 种 安全 技术 ， 已 深入 到 网 络 的 各 个 层面 ， 这 从 侧面 反映 了 PKI 强大 的 技术 优 
势 。 其 中 ，PKI 的 优势 主要 表现 为 以 下 几 点 。 

口 支持 可 公开 验证 并 无 法 仿冒 的 数字 签名 

采用 公开 密 钥 密码 技术 ， 能 够 支持 可 公开 验证 并 无 法 伪造 的 数字 签名 ， 从 而 在 支持 可 追 
究 的 服务 上 具有 不 可 替代 的 优势 。 这 种 可 追究 的 服务 也 为 原 发 数据 完整 性 提供 了 更 高 级 别 的 
担保 。 支 持 公 开 验 证 ， 能 更 好 地 保护 弱势 个 体 ， 完 善 平等 的 网 络 系统 间 的 信息 和 操作 的 可 追 
完 性 。 

口 保护 机 密 性 

由 于 密码 技术 的 采用 ， 保 护 机 密 性 是 PKI 最 突出 的 优点 。PKI 不 仅 能 为 相互 认识 的 实体 
之 间 提 供 机 密 性 服务 ， 同 时 也 可 以 为 陌生 的 用 户 之 间 的 通信 提供 保密 支持 。 

口 保证 服务 范围 的 无 限制 扩张 

由 于 数字 证 书 可 以 由 用 户 独立 验证 ， 不 需要 在 线 查询 ， 原 理 上 能 够 保证 服务 范围 无 限制 
地 扩张 ， 这 使 得 PKI 能 够 成 为 一 种 服务 巨大 用 户 群 的 基础 设施 。PKI 采用 数字 证 书 方式 进行 
服务 ， 即 通过 第 三 方 颁发 的 数字 证 书证 明 末 端 实体 的 密 钥 ， 而 不 是 在 线 查询 或 在 线 分 发 。 这 
种 密 钥 管理 方式 突破 了 过 去 安全 验证 服务 必须 在 线 的 限制 。 


口 应 用 领域 不 受 具体 应 用 限制 

PKI 提供 了 证 书 的 吊销 机 制 ， 从 而 使 得 其 应 用 领域 不 受 具 体 应 用 的 限制 。 吊销 机 制 提供 了 
在 意外 情况 下 的 补救 措施 ， 在 各 种 安全 环境 下 都 可 以 让 用 户 更 加 放心 。 另 外 ， 因 为 有 吊销 技 
术 ， 不 论 是 永远 不 变 的 身份 还 是 经 常 变 换 的 角色 ， 都 可 以 得 到 PKI 的 服务 而 不 用 担心 被 窃 后 
身份 或 角色 被 永远 作废 或 被 他 人 恶意 盗用 。 

口 极 强 的 互联 能 力 

PKI 具有 极 强 的 互联 能 力 。 不 论 是 上 下 级 的 领导 关系 ， 还 是 平等 的 第 三 方 信任 关系 ，PKI 
都 能 够 按照 同样 的 信任 方式 进行 多 种 形式 的 互联 互通 ， 从 而 使 PKI 能 够 很 好 地 服务 于 大 型 网 
络 信息 系统 。PKI 中 各 种 互联 技术 的 结合 使 建设 一 个 复杂 的 网 络 信任 体系 成 为 可 能 。 


12.1.2 ”认证 机 构 和 数字 证 书 


在 PKI 中 ， 认 证 机 构 (Certification Authority，CA) 是 负责 创建 或 者 证 明 身 份 的 可 信赖 的 
权威 机 构 。 这 远 不 止 是 运行 一 个 能 够 生成 用 作 电 子 身份 的 数字 证 书 的 应 用 程序 那么 简单 。 它 
们 之 间 的 区 别 就 好 像 是 颁发 护照 的 国家 护照 管理 局 与 能 够 复制 护照 的 彩色 影印 服务 之 间 的 区 
别 一 样 。 也 就 是 说 能 够 创建 身份 并 不 意味 着 所 有 的 人 都 会 使 用 或 者 信任 这 些 身 份 。 


身份 证 明 是 指证 实 一 个 数字 身份 的 申请 者 的 初始 (真实 ) 身份 的 过 程 。 在 大 
多 数 CA 实现 中 ,这 一 功能 都 被 单独 划 出 来 由 注册 机 构 ( Registration Authority， 
RA ) 实现 。 


CA 实现 了 对 申请 注册 证 书 的 申请 者 的 身份 验证 以 及 颁发 可 用 于 证 明 该 身份 的 数字 证 书 
的 过 程 。 被 颁发 的 身份 有 特定 的 有 效 期 , 该 CA 有 能 力 撤销 该 证 书 并 且 通 知 证 书 使 用 者 该 证 书 
已 被 撤销 。 

通常 ， 人 们 会 想到 应 该 相信 谁 颁发 的 身份 ， 它 们 颁发 的 身份 所 使 用 的 步骤 是 什么 ， 这 些 
可 以 在 日 常生 活 中 使 用 的 身份 证 中 找到 先例 。 然 而 ， 对 于 创建 那些 用 于 电子 世界 身份 的 CA， 
人 们 还 会 有 应 该 信任 哪些 人 运作 的 CA、 身 份 使 用 范围 、 确 定 那些 身份 需要 使 用 的 步骤 及 如 何 
证 明 、 采 用 何 种 机 制 来 提供 一 种 合理 的 不 可 伪造 的 身份 等 问题 。 

在 寻找 值得 信任 的 CA 运作 者 时 ， 人 们 可 能 首先 想到 的 就 是 可 信赖 机 构 。 其 中 ， 包 括 银 
行 、 信 用 卡 公 司 、 邮 局 、 政 府 部 门 ( 如 税务 局 ) 或 者 护照 管理 局 等 。 但 是 ， 这 些 组 织 并 不 一 
定 都 是 CA 运作 者 的 合适 人 选 。 例如 ,交通 部 颁发 的 用 于 驾驶 执照 的 电子 证 书 是 合理 的 , 但 是 
用 户 也 许 并 不 希望 它们 和 自己 的 信用 卡 或 者 信誉 评价 扯 上 关系 。 

除了 传统 形式 的 可 信赖 实体 之 外 ， 新 形式 的 颁发 证 书 的 权威 机 构 也 已 经 出 现 。 这 些 公 共 
CA 当中 的 许多 都 曾经 不 得 不 在 没有 事先 存在 的 名 声 或 者 声誉 可 以 利用 的 情况 下 建立 可 以 信 
赖 的 名 声 。 公 共 CA 是 通过 建立 十 分 安全 的 程序 , 小 心地 确立 和 审计 操作 过 程 以 及 操作 人 员 从 
而 建立 起 它们 可 以 被 信赖 的 名 声 。 

数字 证 书 是 由 权威 机 构 一 一 CA 证 书 授权 (Certificate Authority) 中 心 发 行 的 ， 能 提供 在 
Intemet 上 进行 身份 验证 的 一 种 权威 性 电子 文档 ， 人 们 可 以 在 互联 网 交往 中 用 它 来 证 明 自 己 的 
身份 和 识别 对 方 的 身份 。 


数字 证 书 在 一 个 身份 和 该 身份 的 持 有 者 所 拥有 的 公 / 私 密 钥 对 之 间 建 立 一 种 联系 。 通 常 ， 
人 们 可 以 信赖 一 个 特定 的 颁发 机 构 ， 由 它 根据 用 户 所 要 达到 的 目标 来 确立 身份 。 另 外 ， 还 要 
生成 一 份 可 以 证 实用 户 已 经 获得 了 一 个 有 效 身 份 的 文件 。 数 字 证 书 就 是 这 一 文件 的 电子 形式 。 

在 电子 领域 中 ， 如 果 要 使 有 用“ 身份” 的话， 用户 需要 生成 一 份 数字 文件 或 者 证 书 ， 这 份 
文件 或 者 证 书 应 该 提供 足够 的 信息 ， 使 得 他 人 能 够 相信 你 就 是 该 身份 的 合法 持 有 者 。 

认证 中 心 所 颁发 的 数字 证 书 均 遵 循 X.509 V3 标准 ， 其 格式 在 ITU 标准 和 X.509 V3 中 均 
有 定义 , 图 12-1 为 X.509 证 书 的 结构 示意 图 , 其 中 证 书 和 级 别 信息 采用 X.500 的 可 辨别 名 DN 
来 标记 ， 它 是 一 个 复合 域 ， 通 过 一 个 子 组 件 来 定义 。 


Version Number 


Serial Number 


Signature algorithm 


Issuer name 


Validity period 


Subject name 


Subject public key Vi fields 


Issuer unique identifier 


Subject unique identifier 到 


Extensions 


Signature algorithm 9 


Signature value V1 fields 


图 12-1 X.509 证 书 结构 


口 版 本 号 (Version Number) 定义 证 书 的 版 本 号 ， 这 将 最 终 影响 证 书 中 包含 信息 的 类 
型 和 格式 。 目 前 版 本 4 已 发 布 ， 但 在 实际 使 用 过 程 中 版 本 3 仍 占 主流 。 

口 序列 号 ( Serial Number ) 序列 号 是 赋予 证 书 的 唯一 整数 值 ， 主 要 用 于 将 证 书 与 同一 
CA 颁发 的 其 他 证 书 相 区 别 。 

口 签名 算法 标识 (Signature algorithm ) 该 域 中 含有 CA 签发 证 书 所 使 用 的 数字 签名 算 
法 的 算法 标识 符 ， 如 SHA1WithRSA， 有 CA 的 签名 ， 便 可 以 保证 证 书 拥 有 者 身份 的 
真实 性 ， 而 且 CA 也 不 能 否认 其 签名 。 

口 颁发 者 X500 名 称 (Issuer name) 必 选 项 。 该 域 中 含有 签发 证 书 实体 的 唯一 名 称 
(DN )， 命 名 必须 符合 X.500 格式 ， 通 常 为 某 个 CA。 

口 证 书 有 效 期 (Validity period ) 证 书 仅仅 在 一 个 有 效 的 时 间 段 内 有 效 ， 证 书 的 有 效 期 
就 是 该 证 书 的 有 效 时 间 段 ， 该 域 表示 两 个 日 期 的 序列 ， 即 证 书 的 有 效 开 始 日 期 
(notBefore ) 和 证 书 有 效 期 结束 的 日 期 (notAfter )。 

口 证 书 持 有 者 X500 名 称 (Subject name ) 必 选 项 。 即 证 书 拥有 者 的 可 识别 名 称 ， 命 名 
规则 也 采用 和 .500 格式 。 

口 证 书 持 有 者 公 钥 ( Subject public key ) 必 选 项 。 即 主体 的 公 钥 和 它 的 算法 标识 符 。 


口 证 书 颁 发 者 唯一 标识 号 ( Issuer unique identifier ) 可 选 域 。 它 含有 颁发 者 的 唯一 
标识 符 。 

口 证 书 持 有 者 唯一 标识 号 ( Subject unique identifier ) 可 选 域 。 证书 拥有 者 的 唯一 

口 证 书 扩展 部 分 ( Extensions ) 证 书 扩展 部 分 是 V3 版 本 在 RFC2459 中 定义 的 ， 可 供 选 
择 的 标准 和 扩展 包括 证 书 颁发 者 的 密 钥 标识 、 证 书 持 有 者 密 钥 标识 符 、 公 钥 用 途 、CRL 
发 布点 、 证 书 策略 、 证 书 持 有 者 别名 、 证 书 颁发 者 别名 和 主体 目录 属性 等 。 


12.1.3 ” 公 钥 基础 设施 组 件 


PKI 公 钥 基础 设施 是 提供 公 钥 加 密 和 数字 签名 服务 的 系统 或 平台 , 目的 是 为 了 管理 密 钥 和 
证 书 。 一 个 机 构 通 过 采用 PKI 框架 来 管理 密 钥 和 证 书 可 以 建立 一 个 安全 的 网 络 环境 。 通 常 公 
钥 基 础 设置 由 多 个 组 件 构成 。 


认证 机 构 是 证 书签 发 机 构 ， 它 是 PKI 的 核心 ， 是 PKI 应 用 中 权威 的 、 可 信任 的 、 公 正 的 
第 三 方 机 构 。 认 证 机 构 是 一 个 实体 ， 它 有 权利 签发 并 撤销 证 书 ， 对 证 书 的 真实 性 负责 。 在 整 
个 系统 中 ，CA 由 比 它 高 一 级 的 CA 控制 。 

CA 负责 确认 身份 和 创建 数字 证 书 以 建立 一 个 身份 和 一 对 公 / 私 密 钥 之 间 的 联系 。 从 某 种 
角度 来 讲 ， 它 由 这 一 过 程 中 所 使 用 到 的 软件 和 硬件 组 件 及 服务 集合 所 构成 。 它 还 包括 了 人 、 
操作 过 程 和 环境 ， 以 及 规定 如 何 确认 身份 和 颁发 什么 格式 的 证 书 的 策略 。 

CA 制定 了 一 些 规则 , 通过 这 些 规则 使 申请 者 和 证 书 用 户 确信 该 CA 所 确认 的 身份 符合 自 
己 的 目的 并 且 是 可 以 信赖 的 .而 描述 CA 在 各 方面 受到 的 约束 情况 及 运作 方式 的 规则 都 被 定义 
在 一 个 名 为 认证 操作 管理 规范 (Certification Practices Statement，CPS) 的 文件 中 。 颁 发 证 书 
的 CA 必须 将 它 的 认证 操作 管理 规范 提供 给 证 书 用 户 。 如 果 一 个 CA 没有 CPS, 那么 人 们 就 会 
有 理由 怀疑 该 CA 的 真实 性 并 降低 对 该 CA 所 颁发 身份 的 信任 程度 。 


最 初 ，CPS 是 用 来 记录 CA 运作 信息 的 ， 但 最 近 人 们 越 来 越 担心 CPS 实际 上 
会 泄露 太 多 的 信息 。 因 此 ， 目 前 人 们 正在 讨论 一 个 新 的 文件 类 型 ， 并 将 其 命 
名 为 PKI 信息 披露 规范 (PKI Disclosure Statement，PDS )， 它 用 来 传达 PKI 
操作 所 需 的 信息 , 例如， 建立 信息 关系 时 需要 的 某 个 CA 由 另 一 个 CA 所 证 实 
这 样 的 信息 。 


注册 机 构 负 责 申请 者 的 登记 和 初始 鉴别 。 申 请 者 是 指 那 些 提出 登记 请 求 并 在 请 求 批准 后 
被 授予 证 书 的 用 户 。 这 样 的 交互 可 能 还 包括 证 书 撤销 以 及 申请 者 在 同 PKI 交互 时 需要 的 其 他 
服务 。RA 及 其 接口 既 可 以 被 实现 为 证 书 服务 器 的 一 部 分 ， 也 可 以 形成 一 个 独立 的 组 件 。 

RA 的 职责 可 以 由 一 个 担任 操作 者 的 人 来 执行 , 所 有 的 身份 确认 过 程 都 可 以 被 认为 是 一 组 


手工 操作 的 过 程 〈 实 际 中 ， 某 些 安全 性 要 求 较 高 的 环境 会 要 求 直 接 由 人 来 确认 身份 )。RA 职 
责 就 是 将 来 自 某 个 具有 合法 资格 并 且 经 过 认证 的 用 户 的 证 书 请 求 提交 上 去 。 

控制 证 书 申请 者 登记 和 证 书生 成 的 业务 规则 多 种 多 样 ， 一 个 CA 所 用 到 的 所 有 这 种 规则 
都 应 该 在 CA 的 CPS 中 描述 。 那 些 准备 使 用 由 该 CA 颁发 的 证 书 的 企业 中 的 安全 管理 员 应 该 
仔细 查看 CPS 中 所 描述 的 各 个 方面 的 内 容 。 


证 书 服务 器 是 负责 根据 注册 过 程 中 提供 的 信息 生成 证 书 的 机 器 或 者 服务 。 用 户 的 公 钥 ， 
连同 其 他 一 些 标识 信息 以 及 得 到 的 证 书 结构 一 起 用 CA 的 私 钥 签名 。 

CPS 中 管理 证 书 服务 器 的 部 分 包括 了 对 如 何 确定 CA 密 钥 的 安全 ， 哪 些 信息 将 被 放 到 证 
书 当中 ， 以 及 对 撤销 信息 多 久生 成 一 次 等 问题 进行 描述 。 


在 投入 使 用 之 前 ， 证 书 和 相应 的 公 钥 需要 对 外 公布 。 如 果 提 供 了 某 种 公布 机 制 以 支持 公 
开 证 书 的 分 发 ， 那 么 证 书库 通常 是 发 布 证 书 的 地 方 。 

通常 用 作证 书库 的 目录 可 以 是 X.500 的 目录 ， 但 更 为 常见 的 是 LDAP 目录 。LDAP 实际 
上 是 对 用 于 在 目录 中 定位 信息 的 访问 方法 和 协议 的 描述 。 一 个 LDAP 兼容 的 目录 可 以 实现 为 
任何 东西 ,从 普通 文件 到 关系 数据 库 , 甚至 可 以 是 一 个 X.500 目录 ,但 前 提 是 它 必 须 遵从 LDAP 
的 要 求 。 


当 由 证 书 所 有 者 发 起 到 证 书 用 户 的 连接 时 ， 证 书 也 可 能 被 直接 分 发 给 特定 


用 户 。 


证 书 用 户 在 收 到 证 书 时 ， 需 要 对 收 到 的 证 书 进行 验证 ， 以 确保 证 书 的 有 效 性 、 可 信 性 以 
及 是 否 符合 自己 的 需求 等 。 通 常 验证 一 个 证 书包 括 如 下 几 个 方面 。 

口 验证 该 证 书 的 签名 者 的 签名 。 

口 检查 证 书 的 有 效 期 ， 确 保 该 证 书 仍然 有 效 。 

口 检查 该 证 书 的 预期 用 途 是 否 符合 CA 在 该 证 书 中 指定 的 所 有 策略 限制 。 

口 确认 该 证 书 没有 被 CA 撤销 。 

通常 ， 验 证 证 书 链 的 过 程 非常 复杂 ， 特 别 是 对 于 跨 企业 使 用 时 尤其 如 此 。 证 书 链 的 验证 
可 能 在 客户 端 计算 机 环境 下 执行 ， 通 常 由 使 用 该 证 书 的 应 用 程序 完成 。 另 外 ， 也 可 能 作为 一 
种 服务 提供 ， 客 户 端 计算 机 可 以 使 用 该 服务 执行 相同 的 任务 。 


公 / 私 密 钥 对 可 能 是 在 本 地 的 某 个 像 Web 浏览 器 这 样 的 应 用 程序 的 密 钥 存储 中 生成 , 也 可 
能 是 在 某 个 像 智能 卡 这 样 的 物理 设备 上 生成 。 另 外 ， 密 钥 对 也 可 能 是 在 某 个 集中 的 密 钥 产生 
服务 器 上 被 创建 。 


无 论 是 哪 一 种 情况 生成 的 公 / 私 密 钥 对 ， 都 需要 有 这 样 一 种 机 制 ， 即 能 够 使 得 加 密 密 钥 被 
存档 ， 并 且 如 果 它 们 被 意外 地 丢失 了 也 能 够 被 恢复 。 除 此 之 外 ， 还 存在 一 些 其 他 情况 ， 例 如 
执法 部 门 可 能 需要 向 当事人 索要 加 密 密 钥 。 这 种 机 制 的 存在 使 得 即使 密 钥 的 持 有 者 发 生 了 什 
么 不 幸而 导致 公 / 私 密 钥 对 丢失 ， 那 么 企业 也 可 以 通过 使 用 密 钥 恢复 服务 来 恢复 这 一 至 关 重要 
的 信息 。 


可 靠 的 时 间 ， 与 数字 签名 一 样 ， 是 发 布 可 验证 的 时 间 戳 所 需要 的 前 提 条 件 之 一 。 这 需要 
一 个 单调 增加 的 精确 时 间 源 ， 还 需要 对 时 间 戳 进行 安全 地 传输 以 保证 其 不 被 窍 听 或 者 蔡 换 。 
最 后 ， 还 需要 对 时 间 戳 签名 以 便 人 们 能 够 验证 这 个 可 信 时 间 值 的 发 布 者 是 谁 。 


章 调 加 是 时 钟 《时间 ) 一 直 册 前 志 ， 这 意味 着 无 法 将 时 间 流 重生 为 以 首 
的 某 个 时 刻 。 


许多 业务 都 会 从 可 靠 时 间 这 一 概念 中 获 益 。 其 中 ， 包 括 可 靠 的 审计 日 志 、 接 收 确 认 系统 、 
工作 流 系 统 以 及 电子 文件 〈 包 括 电子 合同 )。 为 了 得 到 一 个 可 以 在 将 来 被 认证 的 时 间 戳 ， 用 户 
通常 需要 一 个 以 某 种 可 信 的 方式 提供 的 可 靠 的 时 间 源 ， 该 时 间 源 还 应 当 具 有 单调 性 〈 时 间 必 
须 一 直 向 前 走 )。 此 外 ， 还 必须 能 够 证 明 添加 了 时 间 戳 的 文件 没有 被 修改 过 《需要 用 到 数字 
签名 )。 

作为 PKI 的 一 部 分 ， 时 间 服 务 器 会 为 分 层 的 服务 或 者 应 用 程序 提供 数字 式 时 间 惟 。 对 于 
那些 为 像 合 同 检验 这 样 的 应 用 程序 提供 支持 的 企业 服务 来 说 ， 其 存在 的 价值 取决 于 第 三 方 对 
其 使 用 时 间 戳 的 信任 程度 。 在 某 些 情况 下 ， 也 需要 使 用 一 个 可 信 的 第 三 方 时 间 戳 提供 者 。 


数字 签名 通常 是 由 那些 应 用 了 数字 签名 的 事物 处 理 或 者 管理 文件 的 应 用 程序 生成 。 如 果 
该 应 用 程序 本 身 没 有 提供 这 样 的 支持 ， 或 者 人 们 更 希望 使 用 一 个 集中 的 签名 和 验证 服务 ， 那 
么 采用 一 个 单独 的 服务 器 来 专门 为 用 户 事物 执行 这 一 功能 会 是 一 个 比较 好 的 选择 。 签 名 服务 
器 可 能 还 会 是 构成 像 数字 公证 人 所 提供 服务 那样 的 第 三 方 服务 的 基础 。 


12.1.4 授权 的 作用 


PKI 的 首要 任务 就 是 确定 可 信赖 的 身份 ， 这 和 确定 该 身份 的 持 有 者 能 够 做 什么 事情 不 一 
样 。 在 PKI 中 ， 关 于 允许 一 个 合法 用 户 对 信息 或 者 系统 进行 访问 的 决定 一 般 是 由 授权 系统 而 
非 认证 系统 作出 的 。 

例如 ， 作 为 一 名 合法 的 护照 持 有 者 ， 拥 有 一 个 由 可 信 的 CA 证 明 的 身份 。 当 该 用 户 为 了 
进入 一 个 不 同 的 国家 而 走 进 该 国 的 海关 或 者 移民 办 事 处 时 ， 对 方 会 采用 一 套 程序 来 检查 护照 
的 合法 性 。 通 常 ， 对 方 会 查看 该 用 户 的 照片 ， 并 且 可 能 让 其 在 一 份 入 关 文件 上 签 上 手写 的 签 
名 以 便 和 护照 上 的 签名 进行 对 比 。 接 着 ， 对 方 会 查看 护照 的 全 息 图 片 ， 以 核实 它 的 确 是 用 户 
所 在 国家 的 政府 生成 的 ， 另 外 ， 还 会 核实 其 可 识别 的 条 形 码 当中 的 信息 和 护照 中 的 物理 信息 


是 否 匹 配 以 确定 该 文件 没有 被 修改 过 。 最 后 ， 会 通过 计算 机 调 出 用 户 的 记录 并 检查 该 护照 是 
否 合法 或 者 被 撤销 。 这 些 步 又 属于 认证 过 程 ， 它 和 证 书 用 户 检查 证 书 的 有 效 性 所 使 用 的 步骤 
相似 。 在 完成 该 过 程 后 ， 对 方 就 会 知道 该 用 户 是 否 拥有 一 份 合法 身份 并 且 也 许 会 允许 该 用 户 
进入 该 国 。 

另外 ， 是 否 允 许 进入 取决 于 该 国 是 否 具有 某 项 安全 政策 规定 必须 拥有 签证 才 准 许 入 境 。 
如 果 用 户 没有 和 该 国 想 进行 的 访问 类 型 相符 的 正确 种 类 的 签证 ， 那 么 即使 身份 检验 合格 ， 也 
会 被 拒绝 入 境 。 

签证 是 一 些 额 外 信息 ， 用 于 表明 护照 用 户 可 能 会 希望 利用 的 一 些 访问 权限 。 护 照 确定 用 
户 的 身份 ， 而 一 份 与 护照 相关 联 的 签证 则 规定 了 用 户 可 以 做 什么 。 


在 该 例 中 ， 用 户 的 身份 没有 改变 。 证 书 颁 发 者 和 与 其 相关 的 信任 级 别 也 没有 
改变 。 对 用 户 的 身份 验证 过 程 也 没有 改变 。 所 有 这 些 都 是 确定 用 户 身份 所 必 
须 满 足 的 先决 条 件 。 它 们 对 应 于 认证 系统 ( authentication system )。 一 旦 认证 
完成 ， 对 方 就 有 必要 查看 用 户 的 护照 ， 查 看 是 否 具有 相应 的 签证 。 


在 某 些 环境 中 ， 这 也 许 是 可 以 接受 的 ， 例 如 ， 证 书 可 能 是 由 一 个 企业 颁发 的 ， 并 且 仅 用 
于 访问 该 企业 内 部 的 系统 。 在 该 企业 内 部 ， 也 许 知 道 该 用 户 的 身份 就 足够 了 ， 因 为 它 只 不 过 
是 一 张 能 让 用 户 通过 系统 的 普通 通行 证 而 已 。 

然而 ， 随 着 PKI 越 来 越 多 地 被 用 来 为 不 同 企业 间 的 交互 或 者 企业 与 客户 间 的 交换 提供 支 
持 ， 除 了 认证 之 外 ， 对 授权 的 需求 也 变 得 越 来 越 重要 。 


在 X.509 中 规定 的 数字 证 书 使 用 唯一 识别 名 来 指定 身份 。 而 X.500 命名 方案 构成 了 证 书 
的 主体 和 证 书 颁发 者 的 唯一 识别 名 的 基础 ， 它 允许 在 证 书 中 包含 一 些 特定 的 信息 从 而 实现 基 
于 角色 的 身份 验证 。 例 如 ， 可 以 在 一 个 命名 方案 中 指明 给 一 个 用 户 颁 发 证 书 的 证 书 颁发 权威 
机 构 属 于 哪个 公司 的 哪个 部 门 ， 在 此 使 用 的 唯一 别名 格式 如 下 所 示 。 

{Country=US, Organization=RSA Security, Organizational unit=Engineering, Location= 
Sweden} 或 者 ， 证 书 的 主体 是 一 个 人 ， 他 的 名 字 指 明了 他 的 工作 部 门 。 

{Country=US, Organization=RSA Security, Organizational unit=Engineering, Location=]lyl} 

通过 分 析 可 信 身份 的 名 字 ， 可 以 知道 该 用 户 能 够 访问 的 工作 部 门 ， 如 果 证 书 颁 发 机 构 是 
瑞典 工程 组 的 CA， 那么 就 允许 证 书 的 所 有 组 访问 该 工程 组 所 使 用 的 代码 管理 系统 。 这 样 ， 就 
可 以 创建 一 个 按照 功能 和 地 理 位 置 划 分 的 授权 系统 。 该 授权 系统 依赖 于 分 散在 组 织 各 处 的 
CA， 这 些 CA 不 仅 为 组 织 中 的 特定 人 员 确 定 身 份 ， 而 且 还 可 以 批准 对 组 织 拥有 系统 的 访问 。 

主体 名 字段 中 的 唯一 识别 名 并 不 是 定义 可 用 于 授权 目的 属性 的 唯一 渠道 。 其 他 证 书 字 段 
也 可 以 用 于 指定 各 种 信息 ， 如 与 证 书 颁 发 和 使 用 控制 相关 的 策略 。 另 外 ， 还 可 以 将 特定 站 点 
的 信息 编码 到 对 证 书 的 专用 控制 当中 。 

在 Microsoft Windows Server 2008 中 , 使 用 策略 字段 来 指定 证 书 持 有 者 对 系统 的 不 同 部 分 
能 够 进行 何 种 类 型 的 访问 。 例 如 ， 一 个 使 用 智能 卡 的 用 户 ， 可 以 利用 保存 在 其 上 面 的 私 钥 进 
行 签名 操作 。 然 而 ， 如 果 该 用 户 没有 使 用 智能 卡 进 行 认 证 的 附加 权力 ， 那 么 就 无 法 使 用 该 智 


能 卡 登录 到 Windows 桌面 。 另 外 ,还 可 以 使 用 其 他 策略 标识 来 控制 用 户 对 Windows Server 2008 
应 用 程序 的 访问 ， 或 者 指定 用 户 对 系统 不 同 部 分 的 管理 功能 。 


一 般 来 讲 ， 将 用 于 授权 目的 的 信息 存储 在 证 书 中 会 遇 到 这 样 的 问题 ， 即 一 个 
用 户 所 拥有 的 角色 或 者 权力 要 比 其 身份 改变 的 更 为 频繁 ，CA 在 运作 上 有 开 
销 ， 如 果 重 新 颁发 证 书 给 太 多 的 用 户 ， 那 么 将 有 更 大 的 代价 。 一 般 证 书 有 效 
期 大 约 是 1 年 或 者 2 年 ， 如 果 要 处 理 不 断 变化 的 用 户 访问 权限 的 话 ， 该 有 效 
期 必须 以 天 或 者 小 时 来 计算 。 


2 特权 管理 基础 设置 


在 过 去 的 几 年 中 ， 对 用 户 能 力 和 特权 的 管理 已 经 吸引 了 许多 人 的 注意 力 。 许 多 授权 系统 
纷纷 出 现 ， 但 是 几乎 所 有 的 这 些 系 统 的 实现 都 是 专 有 方案 。 每 种 解决 方案 在 开发 中 涉及 的 受 
管理 用 户 属性 种 类 、 基 础 设置 的 工作 机 制 、 使 用 的 信任 模型 等 内 容 都 各 不 相同 。 

为 创建 能 够 在 各 厂商 之 间或 者 是 不 同 企业 间 共 享 的 方案 ， 人 们 制定 了 PMI (特权 管理 基 
础 设施 ) 作为 支持 授权 系统 的 基础 设置 ，PMI 和 支持 认证 系统 的 PKI 之 间 具 有 非常 紧密 的 
联系 。 

PMI 的 基础 单元 或 者 结构 是 一 种 被 称 为 属性 证 书 (Attribute Certificate，AC ) 的 新 型 证 书 ， 
这 种 类 型 的 证 书 有 时 候 也 称 为 特权 属性 证 书 (Privilege Attribute Certificate，PAC )。 与 PKI 中 
对 应 的 身份 证 书 不 同 ，PMI 属性 证 书 并 不 会 创建 身份 并 将 该 身份 联系 到 某 个 公 / 私 密 钥 对 上 。 
它们 所 做 的 是 对 一 组 与 用 户 相关 的 属性 进行 编码 ， 且 这 些 属性 并 不 局 限于 访问 权限 或 者 特权 。 


12.2 ”PKI 服务 和 实现 


随 着 网 络 应 用 技术 的 发 展 ， 安 全 隐患 也 越 来 越 多 ， 尤 其 是 在 一 些 未 经 允许 授权 用 户 访问 
的 网 络 ， 一 旦 数据 被 人 截取 、 自 改 或 假冒 ， 都 会 给 企业 和 用 户 带 来 难以 想象 的 损失 。 因 此 ， 
安全 问题 也 越 来 越 被 人 们 重视 ， 特 别 是 电子 交易 类 网 站 。 而 通过 PKI 服务 能 够 有 效 地 提高 通 
信 的 安全 性 以 及 实现 用 户 的 身份 认证 、 数 据 加 密 等 功能 ， 从 而 保护 用 户 的 网 络 及 传输 信息 的 
安全 。 


12.2.1 ” 密 钥 和 证 书 的 生命 周期 管理 


密 钥 和 证 书生 命 周 期 管理 涉及 对 密 钥 和 证 书 从 创建 到 撤销 的 整个 过 程 。 最 初 ， 需 要 创建 
公私 密 钥 对 , 并 且 将 它们 关联 到 用 于 确定 某 个 最 终 实 体 身份 的 证 书 上 。 作为 向 CA 注册 和 申请 
证 书 过 程 中 的 一 部 分 ， 该 密 钥 对 连同 其 他 一 些 标识 信息 一 起 被 提交 给 CA。CA 在 核实 身份 信 
息 之 后 ， 就 会 颁发 该 证 书 。 

在 证 书 可 以 用 来 验证 身份 之 前 ， 必 须 通过 各 种 各 样 的 方式 将 证 书 分 发 给 证 书 用 户 。 证 书 
可 以 由 证 书 所 有 者 发 送 给 证 书 用 户 ， 也 可 以 由 CA 保存 在 某 个 证 书库 中 供用 户 索 取 。 


但 是 ， 颁 发 给 用 户 的 证 书 的 生命 期 限 是 有 限 的 。 如 果 到 了 截止 日 期 ， 该 证 书 就 会 过 去 ， 
此 时 必须 重新 颁发 一 个 新 的 证 书 。 在 为 某 个 特定 的 身份 重新 颁发 证 书 的 过 程 中 ， 证 书 的 某 些 
信息 可 能 会 发 生变 动 。 或 者 ， 因 为 密 钥 有 一 个 平均 使 用 寿命 〈 取 决 于 密 钥 的 长 度 )， 所 以 证 书 
和 密 钥 必须 定期 更 新 。 

发 布 一 个 最 终 实 体 证 书 的 CA 可 能 需要 作废 该 证 书 。 在 这 种 情况 下 ， 该 证 书 应 该 被 撤销 ， 
同时 ， 该 CA 需要 公布 这 一 撤销 消息 。 

另外 ， 由 于 密 钥 可 能 会 丢失 并 且 可 能 需要 恢复 该 密 钥 以 解密 以 前 用 它 加 密 的 信息 。 所 以 
需要 密 钥 归 档 和 密 钥 恢复 的 机 制 。 


12.2.2 ” 密 钥 管理 


密 钥 管理 确保 了 专用 密 钥 的 安全 存储 和 保护 ， 这 是 实现 PKI 的 安全 性 所 必需 的 。 如 果 非 
密 钥 实际 持 有 者 的 其 他 人 能 够 使 用 专用 密 钥 , 则 PKI 安全 模式 将 受到 破坏 。 因此, 在 一 个 PKI 
环境 中 ， 特 别 是 在 一 个 对 于 商务 流程 、 财 务 往来 或 访问 控制 而 言 至 关 重 要 的 PKI 环境 中 ， 必 
须 通 过 可 靠 的 密 钥 管理 解决 方案 来 对 专用 密 钥 进行 保护 。 


密 钥 对 的 产生 是 证 书 申请 过 程 中 重要 的 一 步 ， 其 中 产生 的 私 钥 由 用 户 保留 ， 公 钥 和 其 他 
信息 则 交 由 CA 中 心 进行 签名 ， 从 而 产生 证 书 。 根 据 证 书 类 型 和 应 用 的 不 同 ， 密 钥 对 的 产生 也 
有 不 同 的 形式 和 方法 。 对 普通 证 书 和 测试 证 书 ， 一 般 由 浏览 器 或 固定 的 终端 应 用 来 产生 ， 这 
样 产生 的 密 钥 强度 较 小 ， 不 适合 应 用 于 比较 重要 的 安全 网 络 交易 。 而 对 于 比较 重要 的 证 书 ， 
如 商家 证 书 和 服务 器 证 书 等 , 密 钥 对 一 般 由 专用 应 用 程序 或 CA 中 心 直 接 产生 , 这 样 产生 的 密 
钥 强 度 大 ， 适 合 于 重要 的 应 用 场合 。 

另外 ,不 仅 要 生成 好 的 公 / 私 密 钥 对 ,而 且 要 保证 它们 的 安全 。 好 密 钥 通常 具有 不 易 猜 测 、 
具有 足够 的 长 度 等 优点 ， 且 应 该 只 让 适当 的 人 知道 。 一 般 采 用 非 对 称 密 钥 机 制 ， 它 在 系统 的 
服务 端 和 用 户 端 分 别 生成 自己 的 密 钥 对 ， 然 后 互 传 公 钥 ， 并 保存 各 自 的 私 钥 ， 使 用 公 钥 实现 
消息 的 加 密 和 对 签名 的 认证 ， 用 私 钥 实 现 解密 和 签名 。 

在 开始 创建 一 个 密 钥 生成 系统 时 ， 需 要 考虑 许多 安全 事项 ， 因 为 这 些 实现 可 能 会 影响 用 
户 对 集中 式 或 分 布 式 密 钥 生成 系统 的 选择 。 例 如 ， 支 持 硬 件 随机 数 发 生 器 的 高 性 能 中 心 处 理 
单元 的 有 效 性 以 及 密 钥 生成 的 单一 验证 实现 ， 可 能 导致 用 户 选 择 一 个 中 心 密 钥 产生 服务 。 但 
是 ， 中 心 密 钥 生成 方案 也 会 带 来 一 些 问题 ， 例 如 ， 密 钥 安全 传输 到 用 户 以 及 确保 用 户 有 足够 
的 安全 措施 来 防止 由 于 操作 管理 而 破坏 密 钥 发 生 器 的 输出 等 。 另 外 ， 一 些 客户 可 能 没有 准备 
好 接受 外 部 所 产生 的 密 钥 ， 即 使 该 密 钥 的 产生 和 管理 是 安全 的 。 

中 心 密 钥 使 得 密 钥 归档 和 恢复 之 类 的 服务 简单 化 ， 因 为 只 有 少量 的 基础 设施 组 件 对 归档 
系统 有 接口 。 这 在 大 多 数 情况 下 运行 得 很 好 ， 因 为 加 密 密 钥 是 最 有 可 能 都 需要 保存 在 归档 系 
统 中 的 密 钥 类 型 。 在 本 地 生成 的 数字 签名 密 钥 几乎 从 来 不 需要 归档 。 


在 单位 或 公司 网 络 中 ， 常 常会 发 生 用 户 忘记 自己 的 口令 等 麻烦 事情 ， 而 要 求 管 理 员 给 他 


们 访问 他 们 账户 的 新 口令 ， 这 无 疑 增加 了 管理 员 的 工作 负担 。 同 样 ， 在 PKI 中 也 可 能 发 生 数 
据 加 密 密 钥 的 丢失 。 因 此 ， 为 了 保证 系统 的 安全 性 ， 大 多 数组 织 都 会 增加 使 用 密 钥 归档 和 恢 
复 系统 功能 ， 人 允许 用 户 重新 获得 丢失 的 密 钥 。 

如 果 用 户 的 私 钥 丢失 或 无 法 访问 ， 就 会 导致 无 法 恢复 使 用 此 密 钥 加 密 的 信息 ， 而 且 有 时 
必须 恢复 一 个 旧 的 私 钥 来 解密 一 个 加 密 文件 ， 如 邮件 系统 在 某 天 使 用 了 新 密 钥 ， 但 如 果 想 阅 
读 当天 以 前 的 加 密 邮件 ， 就 必须 使 用 旧 密 钥 。 

密 钥 归档 系统 主要 与 密 钥 备份 库 或 者 档案 中 的 密 钥 安全 存储 有 关 ， 而 密 钥 恢复 系统 主要 
与 恢复 密 钥 的 操作 有 关 。 当 然 ， 两 个 系统 和 它们 相应 的 机 制 紧 密 相连 ， 但 是 考虑 组 织 安全 策 
略 和 设计 约束 ， 通 常 将 它们 作为 独立 系统 保存 。 

PKI 系统 拥有 完成 密 钥 的 存档 和 恢复 的 功能 。 它 能 够 维护 每 个 用 户 的 密 钥 记 录 , 而 且 能 够 
在 必要 时 从 这 个 记录 中 恢复 密 钥 ， 控 制 用 户 私 钥 的 备份 与 恢复 。 

另外 ， 密 钥 应 该 是 以 一 种 不 易 受 到 攻击 、 加 密 的 形式 存储 在 一 个 机 构 中 ， 但 由 于 用 户 在 
不 同 阶段 会 使 用 不 同 的 密 钥 对 《如 每 年 更 新 密 钥 对 )， 所 以 密 钥 的 备份 变 得 很 复杂 。 为 了 实际 
需要 ， 需 要 随时 保存 先前 的 密 钥 ， 并 且 它 们 要 像 当 前 密 钥 一 样 是 可 访问 的 ， 需 要 保存 的 时 间 
至 少 是 12 个 月 。 对 于 旧 密 钥 〈 比 先前 更 早 的 密 钥 )， 应 该 可 以 从 离线 的 存储 档案 中 获得 恢复 。 

对 密 钥 档案 的 访问 需要 严格 的 控制 ， 通 常 这 个 系统 的 安全 至 少 和 中 心 密 钥 产生 系统 一 样 
敏感 。 虽 然 密 钥 产 生 系统 可 能 在 创建 密 钥 时 受到 复制 密 钥 的 攻击 , 密 钥 档案 包含 CA 注册 过 程 
中 已 经 证 明 的 所 有 密 钥 。 在 抗 算 改 安全 硬件 模块 中 可 能 需要 保护 密 钥 。 访 问 系统 可 能 要 求 几 
个 管理 员 同 时 在 场 ， 以 减少 存储 密 钥 潜在 的 欺骗 或 者 偷窃 等 安全 隐患 。 


12.2.3 ”证 书 管理 


证 书 管理 用 来 处 理 在 证 书生 命 周 期 内 应 用 于 证 书 操作 的 集合 。 在 完成 注册 过 程 之 后 ，CA 
必须 对 证 书 负责 。 


通过 注册 中 心 的 初始 身份 认证 后 ， 注 册 中 心 将 用 户 的 申请 提交 到 认证 中 心 ， 认 证 中 心 根 
据 证 书 操作 管理 规范 定义 的 颁发 规则 在 证 书 中 插入 附加 信息 并 设置 多 个 字段 。 例 如 ， 注 册 机 
构 和 认证 策略 可 能 需要 颁发 不 同 种 类 的 证 书 ， 代 颁发 的 身份 类 型 不 同 ， 证 书 中 心 的 策略 设置 
也 会 有 所 不 同 , 以 此 限制 证 书 的 使 用 方式 , 证 书生 成 后 根据 CA 实现 方式 的 不 同 以 及 认证 操作 
规范 需求 的 不 同 将 证 书 返回 给 用 户 《〈 如 以 电子 邮件 形式 返回 )。 


根据 颁发 证 书 的 不 同类 型 ， 证 书 更 新 也 包括 以 下 几 种 不 同类 型 。 

口 最 终 实体 证 书 更 新 

如 果 与 证 书 相关 的 密 钥 可 能 已 经 达到 它 的 有 效 生 命 终点 ， 或 证 书 可 能 已 过 期 〈 与 签署 的 
有 效 期 比较 )， 或 者 证 书 中 的 某 些 属性 已 经 发 生 改变 ， 并 且 对 于 这 些 新 的 属性 必须 重新 证 明 ， 
这 时 就 需要 发 放 新 证 书 。 但 只 要 证 书 没有 被 撤销 ， 那 么 之 前 的 密 钥 和 证 书 就 能 用 来 完成 认证 
过 程 。 


口 CA 证 书 更 新 

CA 要 对 所 颁发 的 数字 证 书 和 撤销 的 数字 证 书 使 用 私 钥 签 名 ， 这 个 密 钥 可 能 过 期 ， 或 者 
CA 本 身 的 证 书 中 有 些 属性 可 能 要 修改 。 另 外 ， 由 于 CA 证 书 一 般 由 上 级 CA 颁发 ， 这 同样 有 
一 个 有 效 期 的 问题 。 因 此 要 对 CA 证 书 进行 更 新 。 

从 概念 上 来 讲 ，CA 密 钥 对 的 更 新 与 最 终 实 体 密 钥 对 的 更 新 类 似 。 然 而 由 于 依赖 根 CA 的 
团体 的 数量 , 可 以 采取 一 些 方法 使 得 向 新 密 钥 和 相应 CA 证 书 的 转换 更 顺利 。PKIX 使 用 CMP 
规范 中 的 根 CA 确认 一 个 模型 ， 这 个 过 程 对 根 CA 起 作用 ， 就 像 它们 可 以 发 行 自 签名 的 证 书 。 
这 个 过 程 依赖 于 CA， 使 用 它 先前 的 密 钥 签名 新 证 书 ， 并 且 使 用 新 密 钥 签 名 旧 证 书 。 这 样 的 结 
果 使 得 根 CA 经 历 一 次 密 钥 更 新 创建 了 如 下 4 个 证 书 。 

> 旧 用 旧 证 书 原始 自 签名 证 书 ， 此 时 先前 的 CA 私 钥 被 用 来 签名 CA 证 书 中 先前 
的 公开 密 钥 。 

> 旧 用 新 证 书 用 新 CA 私 钥 签 名 的 CA 证 书 中 的 原始 公开 密 钥 。 

> 新 用 旧 证 书 用 先前 的 CA 私 钥 签名 的 CA 证 书 中 的 新 的 公开 密 钥 。 

> 新 用 新 证 书 ”用 新 的 CA 私 钥 签名 的 CA 证 书 中 的 新 的 公开 密 钥 。 

先前 的 CA 证 书 在 密 钥 更 新 事件 发 生 时 由 所 有 依赖 方 拥有 。 新 用 旧 证 书 允许 新 产生 的 CA 
公开 密 钥 由 先前 的 、 可 信 的 密 钥 证 实 。 一旦 新 密 钥 是 可 信 的 ， 依 赖 方 获得 的 新 CA 证 书 将 能 够 
信任 它 ， 此 时 旧 用 旧 证 书 和 新 用 旧 证 书 对 于 依赖 方 不 再 是 必需 的 。 新 用 旧 证 书 的 有 效 期 限 从 
新 CA 密 钥 的 密 钥 产生 时 间 开 始 , 在 所 有 依赖 方 转移 到 承认 新 密 钥 的 适当 日 期 结束 。 最 后 的 可 
能 时 间 是 先前 密 钥 的 过 期 期 限 。 旧 用 新 证 书 实现 旧 密 钥 对 向 新 密 钥 对 的 平滑 转换 ， 其 有 效 期 
从 先前 的 密 钥 对 产生 的 日 期 开始 ， 到 旧 证 书 过 期 的 日 期 结束 。 在 CA 新 旧 证 书 交 迭 时 期 ， 旧 证 
书 和 新 证 书 都 可 以 使 用 。 


在 某 些 情况 下 ， 证 书 的 有 效 性 要 求 在 证 书 结束 日 期 之 前 终止 或 者 要 求 用 户 身份 与 私 钥 分 
离 ， 证 书 要 撤销 ， 如 签署 者 状态 发 生 改变 ， 证 书 中 的 信息 可 能 已 经 修改 ， 与 用 户 相关 的 私 钥 
可 能 以 某 种 方式 泄露 。 为 了 处 理 这 类 事件 ， 必 须要 有 一 种 方法 来 使 这 些 证 书 无 效 。 

注销 证 书 可 以 由 私 钥 拥有 者 《证书 主体 ) 通知 CA 或 者 由 某 个 授权 的 个 人 提出 ， 证 书 主 
体 向 CA 提出 证 书 注销 要 求 时 , 必须 提供 撤销 的 确切 日 期 。 但 是 , 证 书 的 主体 可 能 想 逃 脱 责 任 ， 
想 要 使 以 前 签署 的 合同 无 效 ， 它 可 能 会 提供 签署 日 期 之 前 的 时 间作 为 撤销 日 期 。 因 此 ， 这 可 
能 需要 使 用 一 个 公证 服务 ， 它 成 为 特定 日 期 正确 签名 的 证 据 。 

如 果 证 书 颁发 与 用 户 管理 系统 相关 联 ， 用 户 记录 的 删除 将 产生 证 书 注销 通知 ，CA 就 必须 
采取 行动 ， 撤 销 用 户 证 书 或 使 它 无 效 ， 并 警告 证 书 使 用 者 ， 该 证 书 不 再 代表 一 个 可 信 身份 。 
在 大 多 数 情况 下 ，CA 用 来 公布 已 经 更 改 的 证 书 状态 机 制 是 一 个 证 书 注销 列表 (CRL)。 证 书 
注销 列表 包括 已 被 撤销 证 书 的 序列 号 与 撤销 日 期 还 有 标志 撤销 原因 的 状态 。CRL 由 可 信 撤 
销 服务 的 私 钥 进 行 签名 ， 以 保证 列表 不 能 被 修改 。 如 果 把 已 撤销 证 书 的 条 目 从 CRL 中 删除 ， 
会 使 证 书 注销 过 程 无 效 ， 如 果 向 CRL 添加 未 被 撤销 的 证 书 条 目 ， 则 该 证 书本 应 正常 服务 却 被 
废止 ， 这 会 使 拒绝 服务 攻击 成 为 可 能 。CRL 也 标识 了 它 公 布 的 日 期 以 及 在 什么 时 候 会 出 现下 
一 个 版 本 ， 以 确保 所 使 用 的 是 最 新 的 CRL。CRL 通常 公布 在 一 个 目录 中 ， 在 证 书 验 证 时 可 以 
参考 。 证 书 用 户 在 验证 证 书 的 同时 也 可 以 从 目录 中 下 载 CRL， 并 查询 列表 寻找 被 验证 的 证 书 


序列 号 。 

CRL 的 公布 周期 由 CA 决定 。 公 布 的 时 间 间 隔 可 以 是 一 天 或 者 一 星期 ， 这 依赖 于 认证 操 
作 规 范 (CPS) 定义 的 策略 ， 如 证 书 用 户 正在 处 理 高 价值 的 金融 事务 ， 则 可 能 希望 一 小 时 或 者 
更 短 的 时 间 公布 一 次 通知 。CRL 更 新 的 频率 对 证 书 使 用 者 可 以 寄予 多 高 的 信任 级 别 有 直 接 关 
系 。 如 果 CRL 刚刚 公布 , 之 后 马上 有 一 个 证 书 被 撤销 ， 则 在 下 次 CRL 公布 时 ， 撤 销 状态 才能 
到 达 使 用 该 证 书 的 用 户 ， 这 可 能 需要 经 历 相当 长 的 时 间 延 迟 。 证 书 验 证 者 可 能 需要 更 多 的 最 
新 信息 ， 而 不 仅仅 是 特定 CA 所 提供 的 信息 。 如 果 使 用 来 自 多 个 CA 的 证 书 , 可 能 要 考虑 CRL 
公布 间隔 的 不 同 。 此 外 ,定位 CRL 存储 的 目录 ， 下 载 CRL 并 处 理 其 中 的 内 容 ， 可 能 需要 相当 
多 的 最 新 信息 。 

另外 ， 也 可 以 使 用 撤销 机 制 挂 起 证 书 ， 使 证 书 处 于 临时 冻结 状态 ， 这 种 机 制 适用 于 证 书 
拥有 者 确定 在 一 段 时 间 内 不 会 频繁 的 使 用 证 书 ， 并 且 想 确保 在 这 段 时 间 内 证 书 不 被 使 用 。 证 
书 的 状态 不 明确 时 ， 也 可 考虑 使 用 证 书 冻 结 。 当 过 一 段 时 间 后 ， 证 书 被 证 实 确实 应 该 撤销 时 ， 
将 在 下 次 公布 的 CRL 列表 中 删除 ， 并 且 需 要 时 可 经 过 处 理 后 再 次 被 用 作 有 效 证 书 。 


证 书 验 证 是 确定 证 书 在 某 一 时 刻 是 否 有 效 以 及 确认 它 能 否 符 合用 户 意 图 的 过 程 。 它 包括 
以 下 内 容 。 
口 证 书 是 否 包含 一 个 有 效 的 数字 签名 ， 以 确定 证 书 内 容 没有 被 修改 过 ， 保 证 数据 的 完 
整 性 。 
口 当前 使 用 证 书 的 时 间 是 否 在 证 书 的 有 效 期 内 ， 或 在 证 书签 发 时 的 起 止 日 期 内 。 
口 证 书 是 否 用 于 最 初 分 发 它 的 目的 。 
口 检查 证 书 注销 列表 CRL， 验 证 证 书 是 否 被 撤销 。 


12.3 PKI 的 体系 结构 


公 钥 基础 设施 就 是 利用 公 钥 理论 和 技术 建立 的 提供 信息 安全 服务 的 基础 设施 。 公 钥 体 制 
是 目前 应 用 最 广泛 的 一 种 加 密 体制 ， 在 这 一 体制 中 ， 加 密 密 钥 与 解密 密 钥 各 不 相同 ， 发 送信 
息 的 人 利用 接收 者 的 公 钥 发 送 加 密 信 息 ， 接 收 者 再 利用 自己 专 有 的 私 钥 进行 解密 。 这 种 方式 
既 保证 信息 的 机 密 性 ， 又 保证 信息 具有 不 可 抵赖 性 。 到 目前 为 止 ， 它 是 公认 的 保障 网 络 社会 
的 最 佳 体系 结构 。 


12.3.1 公 钥 基础 设施 体系 结构 
在 PKI 中 包括 多 种 组 件 ， 通 过 这 些 组 件 能 够 构建 一 个 安全 的 网 络 环境 。 在 构建 安全 网 络 


环境 的 过 程 中 ， 如 何 将 各 种 组 件 和 服务 结合 在 一 起 ， 以 及 使 用 哪 一 种 体系 结构 是 很 重要 的 ， 
而 PKIX (标准 的 公共 密 钥 基础 结构 ) 则 规定 了 各 种 组 件 间 的 相互 作用 。 


义 .509 标准 规定 了 证 书 的 格式 和 应 用 范围 , 以 及 公开 密 钥 分 配 的 过 程 。 作 为 一 个 重要 标准 ， 


需要 包含 许多 使 用 领域 ， 允 许 证 书 内 容 有 许多 变化 ， 并 支持 许多 可 能 的 操作 模型 。 

公开 密 钥 基础 设施 义 .509 (Public Key Infrastructure X.509，PKIX) 工作 组 由 Internet 工程 
任务 组 (IETF) 组 成 ， 主 要 用 来 规定 证 书 概要 文件 集合 和 操作 模型 ， 适 用 于 在 Intemet 上 部 署 
X.509 公开 密 钥 。 它 已 经 为 不 同 的 应 用 领域 创建 了 其 他 PKI 模型 , 例如 ANSIASC C9F 为 金融 
机 构 开发 的 标准 。 每 个 模型 根据 需要 选择 X.509 属性 ， 并 且 可 以 增加 证 书 扩展 或 者 概念 以 支 
持 不 同 应 用 领域 的 需要 。 

在 PKIX 中 定义 了 注册 、 初 始 化 、 认 证 、 密 钥 对 恢复 、 密 钥 产 生 、 密 钥 更 新 、 交 叉 证 书 、 
撤销 、 证 书 和 撤销 通知 的 分 发 /发 布 等 大 部 分 公 钥 基础 设施 功能 。 为 支持 它 的 体系 结构 模型 ， 
PKIX 撰写 了 专门 文档 来 描述 如 下 5 个 领域 。 

口 X.509 V3 证 书 和 V2 证 书 撤销 列表 概要 文件 。 

口 操作 协议 。 
口 管理 协议 。 
口 策略 概要 。 
口 时 间 蕉 和 日 期 认证 服务 。 

这 些 方面 提供 了 几 种 方式 来 细 化 基本 的 X.509 描述 。 概 要 文件 提供 的 X.509 子 集 包 括 那 
些 被 认为 对 Intemet 组 织 有 用 的 扩展 。 另 外 ， 对 于 不 同 环境 下 的 因特网 操作 ， 扩 展 可 以 被 标识 
为 关键 的 或 者 可 选 的 。 

操作 和 管理 协议 用 来 描述 PKIX 兼容 组 件 为 了 彼此 互 操作 而 必须 支持 的 信息 。 与 操作 协议 
不 同 的 是 ,在 管理 协议 上 将 花费 更 多 的 注意 力 。 因 为 操作 协议 利用 现 有 的 Internet 协议 来 提供 
服务 ， 如 FTP 或 HTTP， 并且 在 大 多 数 情 况 下 确定 应 该 如 何 使 用 这 些 协 议 来 支持 PKIX 模型 ， 
因此 比 管理 协议 简单 。 

策略 概要 描述 应 该 如 何 使 用 证 书 或 者 应 该 如 何 操作 PKI 组 件 。 大 多 数 情况 下 ， 应 该 提供 
文件 来 控制 PKI 操作 ， 概 要 是 PKI 执行 关于 这 些 文件 种 类 的 指示 或 指南 。 而 时 间 玲 和 日 期 认 
证 服务 与 其 他 领域 不 同 ， 它 包括 描述 分 层 或 辅助 服务 的 文档 ， 在 创建 安全 服务 时 PKI 实现 可 
能 要 求 分 层 或 辅助 服务 。 


PKIX 体系 结构 内 的 主要 组 件 包括 如 下 几 个 方面 。 
口 客户 ”包括 PKI 证 书 用 户 ， 否 则 被 确定 为 最 终 实体 和 最 终 用 户 或 系统 (PKI 证 书 的 
主体 )。 
口 证 书 机 构 “主要 用 于 发 行 和 撤销 PKI 证 书 。 
口 注册 机 构 “ 用 于 确定 公开 密 钥 和 证 书 持 有 者 身份 之 间 的 连接 。 
口 资料 库 ”用 于 存储 证 书 和 CRL 的 系数 (可 能 是 分 布 式 的 ) 以 及 向 最 终 实 体 提 供 证 书 和 
CRL 的 分 发 机 制 。 
12-2 所 示 为 PKI 组件 及 其 相互 间 的 主要 关系 示意 图 。 在 图 12-2 中 操作 事务 、 管 理事 务 
及 证 书 和 CRL 公布 属于 PKIX 组 件 之 间 的 工作 流 。 其 中 ， 操 作 事务 是 包含 在 操作 协议 文档 中 
的 消息 交换 ， 提 供 证 书 、CRL 和 其 他 管理 与 状态 信息 的 优先 传输 ; 管理 事务 是 管理 协议 文档 
中 描述 的 消息 交换 ， 它 提供 通知 服务 ， 支 持 PKI 内 的 管理 事务 或 操作 ;公布 用 于 向 公开 库 分 
发 证 书 和 CRL。 


管理 事务 “PKI 用 户 


PKI 管理 实体 


机 THD 贡 局 


证 书 /CRL 公 布 


12-2 PKI 组 件 


12.3.2 ”PKI 实体 


PKI 最 主要 的 任务 就 是 确定 可 信赖 的 数字 身份 ， 接 受 PKI 服务 的 用 户 都 确信 自己 没有 被 
误导 和 欺骗 。 创 建 可 信赖 的 身份 问题 就 是 要 找到 通信 各 方 都 完全 信任 的 人 或 机 构 来 证 实 对 方 
的 身份 ， 如 果 能 找到 一 个 合适 的 人 或 者 实体 ， 而 这 个 人 或 实体 能 够 有 相当 大 的 把 握 认 定 他 所 
采用 的 证 实 创建 身份 准确 性 的 处 理 是 正确 有 效 的 ， 它 所 提供 的 身份 证 明 机 制 也 是 合理 且 不 可 
伪造 的 ， 那 么 用 户 就 可 以 在 某 种 程度 上 信任 他 所 创建 的 名 字 或 身份 。 

通常 一 些 特定 的 权威 机 构 具 有 证 实 身份 的 权力 或 者 能 力 ， 如 公安 局 可 以 颁发 身份 证 ， 护 
照管 理 局 可 以 提供 护照 等 ， 而 且 也 需要 有 多 种 权威 机 构 提 供 不 同 用 途 的 证 件 来 实现 不 同 的 用 
途 ， 通 常 这些 机 构 就 是 实施 PKI 服务 的 实体 。 

实施 PKI 服务 的 实体 概括 起 来 分 为 注册 机 构 、 认 证 机 构 和 证 书库 3 个 部 分 。 其 中 ， 注 册 
机 构 是 PKI 实体 的 核心 ， 是 PKI 服务 的 提供 者 ; 认证 机 构 是 PKI 的 用 户 ， 是 PKI 服务 的 使 用 
者 ; 证 书库 是 一 个 分 布 式 数据 库 ， 用 于 证 书 或 证 书 注销 列表 的 存放 和 检索 。 


注册 机 构 是 PKI 内 部 的 可 选 实体 ， 它 负责 与 注册 最 终 实 体 (CA 发 行 的 证 书 的 主体 ) 相关 
的 管理 任务 。 如 果 PKI 中 没有 RA， 则 认为 CA 与 注册 机 构 规定 的 性 能 有 相同 的 性 能 集合 。 

特殊 注册 机 构 实 现 的 功能 通常 随 着 PKI 实施 的 需求 而 变化 ， 但 是 必须 支持 确定 或 者 确认 
签署 身份 者 的 原则 。 这 些 功 能 可 能 包括 如 下 几 个 方面 。 

口 主体 注册 证 书 的 个 人 认证 。 

口 确认 主体 提供 信息 的 有 效 性 。 

口 通过 被 请 求证 书 的 属性 来 确定 主体 的 权利 。 

口 确认 主体 确实 拥有 注册 的 私 钥 (一般 称 为 拥有 凭据 POP )。 

口 在 需要 撤销 时 报告 密 钥 泄露 后 终止 事件 。 

口 为 识别 身份 的 目的 分 配 名 字 。 


口 在 注册 初始 化 和 证 书 获得 期 间 产 生 共 享 密 钥 。 

口 产生 公 / 私 密 钥 对 。 

口 认证 机 构 代表 主体 最 终 实体 开始 注册 过 程 。 

口 私 钥 归 档 。 

口 开始 密 钥 恢复 处 理 。 

口 包含 私 钥 的 物理 令 牌 ( 智能卡 ) 的 分 发 。 

一 般 来 讲 ， 注 册 机 构 控制 注册 、 证 书 传递 、 其 他 密 钥 和 证 书生 命 周 期 管理 过 程 中 主体 最 
终 实 体 和 PKI 间 的 交换 。 然 而 ， 任 何 环境 下 RA 都 不 真正 发 起 关于 主体 的 可 信 声 明 。 因 此 ， 
只 有 证 书 机 构 可 以 颁发 证 书 或 者 颁发 证 书 撤销 状态 信息 ， 如 CRL 证书 吊销 列表 )。 

单个 注册 机 构 的 部 署 是 与 PKI 操作 相关 的 商业 处 理 的 重点 。 例 如 ， 在 管理 PKI 服务 中 ， 
可 能 在 一 个 站 点 执行 RA 的 操作 ， 同 时 CA 和 它 的 操作 可 能 是 外 购 的 。 因此， 选择 证 书 发 行 可 
以 在 组 织 内 部 维护 ， 同 时 处 理 可 以 分 配给 用 户 的 商业 伙伴 或 者 作为 特区 进行 操作 。 

另外 ， 在 某 些 情况 下 ， 可 能 要 求 认 证 机 构 管理 网 络 外 部 的 最 终 实体 访问 注册 机 构 服 务 器 。 
如 图 12-3 所 示 ， 当 使 用 证 书 来 认证 用 户 的 商业 系统 时 ， 用 户 的 外 部 网 络 环境 下 的 伙伴 组 织 内 
的 最 终 实体 的 注册 。 在 这 种 情况 下 ，RA 可 以 放置 在 网 络 的 DMZ 《隔离 区 ) 中 ， 但 是 为 了 保 
护 CA， 需 将 它 放 在 网 络 防 火 墙 的 后 面 进行 维护 。 


图 12-3 访问 网 络 DMZ 中 的 注册 机 构 


认证 机 构 负责 创建 和 发 行 最 终 实体 证 书 。 最 终 实体 证 书 将 主体 最 终 实体 的 身份 表示 成 正 
在 注册 的 主体 名 字 ， 注 册 使 用 与 主体 拥有 的 私 钥 相 应 的 公开 密 钥 。 

另外 ，CA 负责 在 证 书 发 行 之 后 对 证 书生 命 周 期 所 有 方面 的 管理 ， 这 包括 跟踪 证 书 状态 ， 
并 且 在 证 书 需要 撤销 时 发 行 撤 销 通 知 。 即 使 有 撤销 通知 的 服务 ，CA 仍然 需要 维护 证 书 档案 和 
与 证 书 相关 的 审计 ， 以 满足 日 后 验证 的 需要 。 

在 PKIX 中 ， 存 在 大 量 与 特殊 类 型 CA 相关 的 特殊 术语 。 例 如 ， 根 CA 是 一 个 直接 被 证 书 
用 户 信任 的 CA。 但 在 PKIX 中 ， 并 不 一 定 使 用 该 术语 ， 如 它 使 用 “可 信和 锚 ” 来 称呼 被 证 书 用 
户 信 任 的 CA。 
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证 书库 被 用 作证 书 和 CRL (证 书 吊 销 列表 ) 的 公共 存储 。 最 初 ， 证 书库 是 一 个 X.500 目 
录 。 但 为 了 支持 PKIX， 证 书库 通常 是 一 个 LDAP 目录 。 

LDAP 作为 PKIX 明确 支持 的 一 个 操作 协议 被 列 出 。 虽 然 像 CMP 之 类 的 管理 协议 内 的 操 
作 ， 即 为 了 获得 特定 证 书 或 者 CRL 可 能 提供 的 查询 支持 , 但 是 LDAP 可 以 直接 用 作 这 些 相 同 
信息 的 查找 协议 。 

另外 ， 证 书库 除 存储 证 书 和 CRL 外 ， 还 可 能 使 用 目录 中 的 其 他 实体 (如 CA 目录 客体 ) 
来 存储 附加 信息 包括 身份 确认 关系 )。 

不 同 的 实体 间 通 过 PKI 操作 完成 证 书 的 请 求 、 确 认 、 发 布 、 撤 销 、 更 新 和 获取 等 过 程 。 
PKI 操作 分 为 存 取 操 作 和 管理 操作 两 类 。 前 者 涉及 注册 机 构 、 认 证 机 构 与 证 书库 之 间 的 交换 ， 
操作 的 目的 是 向 证 书库 存放 证 书 和 CRL， 或 从 证 书库 中 读 取证 书 和 CRL; 后 者 涉及 注册 机 构 
与 认证 机 构 之 间或 注册 机 构 内 部 的 交互 ， 操 作 的 目的 是 完成 证 书 的 各 项 管理 任务 和 建立 证 
书 链 。 


12.3.3 ”PKIX 证 书 验证 


为 了 将 X.509 标准 应 用 到 Intemet 上 ， 建 设 基于 X.509 标准 的 PKI 系统 ，IETF (Internet 
Engineering Task Force) 在 1995 年 成 立 了 PKIX 工作 组 ， 开 始 制定 各 种 与 Internet 相关 的 PKI 
标准 。 

由 于 X.509 标准 的 重要 基础 就 是 PKIX 工作 组 ， 因 此 ， 在 PKIX 的 系统 结构 中 ， 也 包括 了 
类 似 的 CA、 末端 实体 (证书 持 有 者 和 依赖 方 )、CRL Issuer 和 资料 库 。 但 不 同 的 是 ，X.509 标 
准 中 描述 的 资料 库 是 指 X.500 目录 ; 而 PKIX 系统 结构 的 资料 库 ， 除 X.500 目录 外 ,还 可 以 使 
用 各 种 常见 的 Internet 信息 发 布 技术 ， 包 括 LDAP 协议 、HTTP 协议 、FTP 协议 等 。PKIX 工 
作 组 还 制定 了 使 用 LDAP 协议 、HTTP 协议 、FTP 协议 从 资料 库 获取 证 书 和 CRL 的 相关 标准 。 

PKIX 系统 结构 中 ， 还 包括 了 RA 和 OCSP 服务 器 。RA 承担 了 CA 委托 的 一 部 分 证 书 管 
理 功能 ， 是 CA 与 用 户 之 间 的 通信 接口 。OCSP 服务 器 是 由 PKIX 工作 组 提出 的 。 证 书 验证 者 
使 用 OCSP 协议 与 服务 器 在 线 通 信 ， 可 以 更 加 及 时 地 获得 证 书 的 撤销 状态 。 

另外 ，PKIX 工作 组 还 定义 了 证 书 申 请 、 撤 销 、 更 新 等 各 种 操作 时 ， 末 端 实体 与 RA、CA 
之 间 的 通信 格式 。 当 RA、CA 相互 通信 时 ， 它 们 也 使 用 证 书 来 保证 安全 ， 此 时 RA、CA 也 有 具 
有 证 书 持 有 者 和 证 书 验证 者 的 功能 。 
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在 RFC 2560 中 定义 了 在 线 证 书 状态 协议 (Online Certificate Status Protocol，OCSP), 主 
要 是 为 了 克服 基于 CRL 的 撤销 方案 的 局 限 性 ， 并 且 为 证 书 状 态 查 询 提 供 即 时 响应 。 即 返回 特 
定 证 书 撤销 通知 ， 而 不 是 使 用 CRL 形式 的 大 量 线性 搜索 列表 。 

口 OCSP 操作 

OCSP 是 一 个 简单 的 请 求 /响应 协议 ， 可 基于 多 种 协议 传输 ， 但 最 经 常 使 用 的 是 HTTP 协 
议 。OCSP 使 用 证 书 序列 号 、 结 合 发 行 CA 名 称 和 公开 密 钥 的 散 列 值 ， 确 认 作为 查询 目标 的 证 


书 。 其 中 ， 被 称 为 OCSP 响应 程序 的 服务 返回 证 书 状态 。 响 应 通常 返回 值 正 常 的 、 已 撤销 的 
和 未 知 的 3 种 状态 来 指明 证 书 状 态 。 

另外 ， 返 回 的 大 量 “ 活 跃 度 ” 标 识 ， 表 明了 响应 信息 的 及 时 性 。 通 常 包 括 thisupdate〈 指 
定 状 态 正确 的 时 间 )、nextupdate〈 比 较 新 的 状态 信息 可 用 时 的 时 间 ) 和 producedAt (OCSP 响 
应 者 对 请 求 签名 的 时 间 ) 3 个 方面 。 

OCSP 的 工作 方式 存在 大 量 的 内 在 限制 。 仅仅 在 单一 证 书 上 返回 信息 , 没有 验证 与 证 书 相 
关 链 接 的 有 效 性 ， 依 赖 方 软件 必须 执行 证 书 链 或 路 径 处 理 所 要 求 的 其 余 工 作 。 例 如 ， 在 验证 
最 终 实体 之 前 , 依赖 方 必须 下 载 发 行 最 终 实体 证 书 的 CA 证 书 。 为 了 计算 最 终 实体 证 书 状态 请 
求 要 求 的 散 列 值 ， 需 要 颁发 者 的 公开 密 钥 。 

OCSP 响应 程序 不 提供 认证 路 径 结构 。 构 造 路 径 相关 证 书 的 位 置 留 给 依赖 方 处 理 。 男 外 ， 
它 也 不 发 送 给 OCSP 响应 者 的 完全 证 书 ， 相 反 ， 为 了 验证 所 需要 发 送信 息 给 OCSP 响应 程序 ， 
如 证 书 序列 号 ， 因 此 ， 不 可 能 验证 证 书 中 的 签名 。 由 于 OCSP 仅仅 与 证 书 的 撤销 状态 有 关 ， 
因此 ， 客 户 必须 检查 其 他 验证 信息 ， 如 证 书 有 效 期 、 密 钥 使 用 一 致 性 以 及 其 他 约束 。 

口 功能 选项 

为 了 检查 证 书 集合 的 当前 有 效 性 或 者 有 可 能 使 用 CA 公布 的 现 有 CRL， 可 以 将 OCSP 响 
应 程序 配置 成 可 以 直接 访问 证 书 数据 库 。 依 靠 策 略 要 求 执行 证 书 有 效 性 检查 时 , “新鲜 性 ” 标 
识 为 客户 提供 了 可 以 使 用 的 特定 信息 。 在 某 些 情况 下 ， 为 了 实现 OCSP， 使 用 CRL 引起 的 延 
迟 可 能 不 太 重要 ， 因 此 ， 可 以 不 用 查找 目录 、 下 载 整个 CRL 或 不 用 处 理 它 所 带 来 的 方便 性 。 

有 些 应 用 可 能 对 CRL 公布 间隔 并 不 敏感 ， 如 签署 者 服务 ， 用 有 具体 例子 说 明 或 终止 一 个 用 
户 花 费 的 时 间 可 能 提 上 议事 日 程 。 在 这 种 情况 下 ， 在 线 服 务 以 及 简单 消息 接口 的 方便 性 使 
OCSP 成 为 理想 的 解决 方案 。 而 OCSP 响应 程序 数据 库 的 正常 CRL 更 新 在 后 台 发 生 的 事实 ， 
在 该 例 中 是 不 相关 的 。 

为 了 达到 最 优化 ， 预 先 产生 证 书 验 证 响应 对 实现 是 有 效 的。 这 就 允许 在 后 台 对 响应 进行 
签名 和 存储 ， 此 时 签名 操作 可 以 执行 的 频率 限制 了 实现 的 响应 时 间 。 

另外 ，OCSP 允许 委托 证 书 验 证 ， 从 而 不 必 在 证 书 服务 器 上 实现 OCSP 响应 。 这 人 允许 更 大 
规模 的 实现 ， 同 时 与 证 书 验证 系统 分 离 保存 CA 签名 密 钥 。 
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简单 证 书 验证 协议 (Simple Certificate Validation Protocol, SCVP ) 的 出 现 是 为 了 克服 OCSP 
协议 存在 的 缺点 。 

SCVP 保留 不 可 信和 可 信服 务 器 的 功能 。 例如， 不 可 信服 务 器 可 以 提供 路 径 来 构造 所 需要 
的 中 介 证 书 ， 因 此 在 这 种 情况 下 基于 客户 的 认证 路 径 验 证 的 标准 过 程 是 足够 安全 的 。 可 信服 
务 器 可 以 为 依赖 方 执行 全 部 验证 服务 。 可 信服 务 器 的 目标 是 消除 客户 端 软 件 的 路 径 验 证 开销 ， 
并 允许 执行 中 心 验证 策略 。 

SCVP 使 用 简单 请 求 响应 协议 ， 设 计 目标 超过 了 HTTP 或 E-mail 的 限度 。 对 所 有 的 SCVP 
响应 程序 签名 。 如 果 要 求 客 户 认 证 ， 或 者 为 了 不 可 否认 性 将 请 求 计 入 日 志 作 为 审计 踪迹 的 一 
部 分 ， 也 可 以 对 请 求 签名 。 

SCVP 与 OCSP 的 主要 区 别 是 SCVP 客户 在 将 要 验证 的 询问 中 发 送 证 书 集合 , 而 OCSP 可 
以 发 送 证 书 标 识 。 结 果 证 书 可 以 执行 更 多 的 验证 步骤 。 客 户 可 以 发 送 中介 证 书 的 集合 ，SCVP 


服务 器 可 以 将 中 介 证 书 看 作 是 验证 处 理 的 一 部 分 ， 由 客户 来 确定 哪个 根 是 可 信 的 。 在 验证 处 
理 期 间 SCVP 必须 使 用 这 些 证 书 。 

客户 对 请 求 可 能 指定 的 其 他 约束 包括 被 执行 的 检查 类 型 、 考 虑 撤销 消息 的 类 型 以 及 证 书 
验证 必须 使 用 的 策略 ， 可 以 指定 应 该 只 检查 撤销 状态 还 是 应 该 执行 全 部 路 径 验证 处 理 。 撤 销 
信息 的 类 型 允许 客户 指明 ， 应 该 使 用 CRL 或 OCSP 服务 来 获得 证 书 的 撤销 状态 。 

客户 可 以 确定 服务 器 返回 什么 类 型 的 信息 及 请 求 返回 撤销 状态 数据 ， 或 者 为 了 客户 的 进 
一 步 处 理 而 返回 用 来 验证 证 书 的 证 书 链 。 

SCVP 客户 也 可 以 请 求 在 特定 点 上 及 时 验证 证 书 。 这 可 以 在 验证 签名 时 使 用 , 例如 ， 验 证 
基于 当时 证 书 状态 产生 的 签名 当时 是 否 有 效 等 。 

SCVP 并 不 像 其 名 称 所 暗示 的 那么 简单 ,， 它 允许 一 定 程度 的 证 书 验证 的 灵活 性 , 并 且 允 许 
中 心服 务 器 降低 最 终 实体 相当 大 的 处 理 开 销 。 然 而 ， 为 了 决定 证 书 状态 是 否 可 和信， 必须 向 服 
务 器 传输 数量 可 观 的 信息 。 


如 果 SCVP 依赖 现 有 的 机 制 ,如 CRL 或 OCSP,， 并 且 证 书 状 态 检 查 和 它 的 处 理 非常 紧密 ， 
则 认为 扩展 OCSP 可 能 是 一 个 更 好 的 验证 方案 。 因 此 ，OCSP-X 被 提议 为 IETF 标准 过 程 的 一 
部 分 。 

设计 OCSP-X 的 目标 与 SCVP 的 目标 类 似 , 但 是 在 RFC 中 对 OCSP-X 做 出 了 更 有 效 的 规 
定 。 它 所 支持 的 附加 功能 包括 在 用 于 认证 的 特权 管理 机 构 中 所 使 用 的 证 书 属 性 的 验证 。 

在 OCSP 中 ， 如 果 用 户 为 了 做 出 关于 证 书 的 可 信 决 定 而 向 服务 器 委托 责任 ， 那 么 客户 可 
以 不 必 重 复 信任 过 程 。 因 此 不 需要 向 客户 返回 信息 (如 在 该 过 程 中 实际 验证 的 证 书 链 或 者 使 
用 的 相关 CRL)。 

与 OCSP 请 求 相 比 ， 在 OCSP-X 请 求 中 增加 了 如 下 扩展 字段 。 

口 指定 可 信和 根 (Specify Trusted Root) 该 字段 允许 客户 使 用 指定 的 根 CA 证 书 作 为 可 信 
根来 查询 证 书 的 有 效 性 。 如 果 服务 器 不 能 创建 从 最 终 实 体 到 根 的 可 信 路 径 ， 则 返回 错 
误 信 息 。 

口 指定 处 理 规则 ( Specify Processing Rules ) 该 字段 允许 客户 确定 认证 路 径 验证 期 间 应 
该 使 用 的 处 理 规则 。 

口 评估 可 信 路 径 (Evaluate Trust Path ) 该 字段 要 求 OCSP-X 服务 器 创建 一 个 来 自 可 信 
根 的 路 径 ， 并 随意 返回 创建 或 验证 证 书 链 所 使 用 的 部 分 或 全 部 数据 。 

口 注册 可 信和 路 径 ( Register Trust Path ) 该 字段 允许 客户 向 服务 器 指明 ， 指 定 的 可 选 路 
径 在 某 些 特定 时 段 是 有 用 的 。 这 样 可 以 使 服务 器 处 于 优化 的 目的 缓存 与 可 信赖 路 径 有 
关 的 信息 。 


12.4 ”权限 管理 基础 设施 PMI 概况 


权限 管理 基础 设置 (Privilege Management Infrastructure，PMI) 又 称 为 属性 特权 机 构 ， 在 
ANSI (美国 国家 标准 学 会 ) 和 下 TF (互联 网 工程 任务 组 ) 的 PKIX 中 都 有 定义 ， 它 依赖 于 公 


共 密 钥 基 础 设施 PKI 的 支持 ， 主 要 提供 访问 控制 和 特权 管理 ， 提 供用 户 身份 到 应 用 授权 的 映 
射 功能 ， 实 现 与 实际 应 用 处 理 模 式 相 对 应 的 、 与 具体 应 用 系统 和 管理 无 关 的 访问 控制 机 制 ， 
并 能 极 大 地 简化 应 用 中 访问 控制 和 权限 管理 系统 的 开发 与 维护 。 

在 国际 电信 联盟 电信 标准 化 部 (ITU-T) 2001 年 发 表 的 第 四 版 X.509 标准 中 , 首次 将 权限 
管理 基础 设施 的 证 书 完 全 标准 化 。X.509 的 早期 版 本 侧重 于 公 钥 基础 设施 的 证 书 标准 化 。 

PMI 授权 技术 的 基本 思想 是 以 资源 管理 为 核心 ， 将 对 资源 的 访问 控制 权 统一 交 由 授权 机 
构 去 管理 ， 即 由 资源 的 所 有 者 来 进行 访问 控制 管理 。 与 PKI 相 比 ， 两 者 的 主要 区 别 在 于 PKI 
证 明 用 户 是 谁 ， 并 将 用 户 的 身份 信息 保存 在 用 户 的 公 钥 证 书 中 ;而 PMI 则 证 明 这 个 用 户 有 什 
么 权限 、 什 么 属性 、 能 干什么 ， 并 将 用 户 的 属性 信息 保存 在 属性 证 书 〈 又 称 管理 证 书 ) 中 。 

PMI 系统 主要 包括 授权 管理 中 心 (AA 中 心 ) 和 资源 管理 中 心 (RM 中 心 ) 两 部 分 。 其 中 ， 
授权 管理 中 心 的 主要 设备 是 授权 服务 平台 ， 它 是 实现 PMI 授权 技术 的 核心 部 件 ， 主 要 为 用 户 
颁发 AC 授权 证 书 。 

PMI 使 用 了 属性 证 书 (Attribute Certificate)， 它 是 一 种 轻 量 级 的 数字 证 书 ， 这 种 数字 证 书 
不 包含 公 钥 信 息 ， 只 包含 证 书 所 有 人 ID、 发 行 证 书 DD、 签名 算法 、 有 效 期 、 属 性 等 信息 。 一 
般 的 属性 证 书 的 有 效 期 均 比 较 短 ， 这 样 可 以 避免 公 钥 证 书 在 处 理 CRL 时 的 问题 。 如 果 属 性 证 
书 的 有 效 期 很 短 ， 到 了 有 效 期 的 日 期 ， 证 书 将 会 自动 失效 ， 从 而 避免 了 公 钥 证 书 在 撤销 时 的 
种 种 弊端 。 属 性 一 般 由 属性 类 别 和 属性 值 组 成 ， 也 可 以 是 多 个 属性 类 别 和 属性 值 的 组 合 。 这 
种 证 书 利用 属性 来 定义 每 个 证 书 持 有 者 的 权限 、 角 色 等 信息 。 从 而 可 以 解决 PKI 中 所 面临 的 
问题 ， 对 信任 进行 一 定 程度 的 管理 。 


绝 大 多 数 的 访问 控制 应 用 都 能 抽象 成 一 般 的 权限 管理 模型 ， 包 括 对 象 、 权 限 声称 者 
(privilege asserter) 和 权限 验证 者 (privilege verifier) 3 个 实体 。 其 中 ， 对 象 可 以 是 被 保护 的 资 
源 ， 例 如 ， 在 一 个 访问 控制 应 用 中 ， 受 保护 资源 就 是 对 象 ， 权限 声明 者 也 就 是 访问 者 ， 是 持 
有 特定 权限 并 声明 其 权限 具有 特定 使 用 内 容 的 实体 ; 权限 验证 者 对 访问 动作 进行 验证 和 决策 ， 
是 制定 决策 的 实体 ， 决 定 被 声明 的 权限 对 于 使 用 内 容 来 说 是 否 充分 。 

通常 情况 下 ， 权 限 验证 者 根据 以 下 4 个 条 件 来 决定 访问 通过 或 失败 。 

口 权限 声明 者 的 权限 。 

口 适当 的 权限 策略 。 

口 当前 环境 变量 ( 如 果 存 在 )。 

口 对 象 的 敏感 度 ( 如 果 存 在 )。 

在 这 4 个 条 件 中 ， 权 限 策略 说 明了 对 于 给 定 敏 感度 服务 的 对 象 方法 或 权限 的 用 法 和 内 容 ， 
用 户 持 有 的 权限 需要 满足 什么 条 件 及 达到 什么 要 求 。 权 限 策略 准确 定义 了 什么 时 候 权 限 验证 
者 应 该 确定 一 套 已 存在 的 权限 是 “充分 的 ”， 以 便 许可 (对 要 求 的 对 象 、 资 源 、 应 用 等 ) 权限 
声明 者 访问 。 为 了 保护 系统 的 安全 性 ， 权 限 策略 需要 完整 性 和 可 靠 性 保护 ， 防 止 他 人 通过 修 
改 权 限 策略 而 攻击 系统 。 


授权 服务 体系 主要 是 为 网 络 空间 提供 用 户 操作 授权 的 管理 ， 即 在 虚拟 网 络 空间 中 的 用 户 


角色 与 最 终 应 用 系统 中 用 户 的 操作 权限 之 间 建 立 一 种 映射 关系 。 授 权 服 务 体系 一 般 需 要 与 信 
任 服务 体系 协同 工作 ， 才 能 完成 从 特定 用 户 的 现实 空间 身份 到 特定 应 用 系统 中 的 具体 操作 权 
限 之 间 的 转换 。 目 前 建立 授权 服务 体系 的 关键 技术 主要 是 授权 管理 基础 设施 技术 。PMI 以 资 
源 管理 为 核心 ， 对 资源 的 访问 控制 权 交 由 授权 机 构 统一 处 理 ， 即 由 资源 的 所 有 者 来 进行 访问 。 

PMI 是 一 个 由 属性 证 书 、 属 性 权威 、 属 性 证 书库 等 部 件 构成 的 综合 系统 ， 用 来 实现 权限 
和 证 书 的 产生 、 管 理 、 储 存 、 分 发 和 撤销 等 功能 。PMI 使 用 属性 证 书 表示 和 容纳 权限 信息 
通过 管理 证 书 的 生命 周期 实现 对 权限 生命 周期 的 管理 。 属 性 证 书 申 请 、 签 发 、 注 销 、 验 证 的 
流程 对 应 着 权限 申请 、 发 放 、 撤 销 、 使 用 和 验证 的 过 程 ， 而 且 使 用 属性 证 书 进行 权限 管理 方 
式 使 得 权限 的 管理 不 必 依赖 某 个 具体 的 应 用 ， 并 有 利于 权限 的 安全 分 布 式 应 用 。 

PMI 技术 通过 数字 证 书 机 制 来 管理 用 户 的 授权 信息 ， 并 将 授权 管理 功能 从 传统 的 应 用 系 
统 中 分 离 出 来 ， 以 独立 服务 的 方式 面向 应 用 系统 提供 授权 管理 服务 。 由 于 数字 证 书 机 制 提供 
了 授权 信息 的 安全 保护 功能 ， 因 此 作为 用 户 授 权 信息 存放 载体 的 属性 证 书 同样 可 以 通过 公开 
方式 对 外 发 布 ， 由 于 属性 证 书 并 不 提供 用 户 身份 的 鉴别 功能 ， 因 此 属性 证 书 中 将 不 包含 用 户 
的 公 钥 信息 。 


PMI 授权 服务 体系 高 度 集中 地 管理 用 户 和 为 用 户 授权 ， 并 且 采 用 适当 的 用 户 身份 信息 来 
实现 用 户 认 证 ， 主 要 是 PKI 体系 下 的 数字 证 书 ， 也 包括 动态 口令 或 者 指纹 认证 技术 。 安 全 平 
台 将 授权 管理 功能 从 应 用 系统 中 分 离 出 来 ， 以 独立 和 几 种 服务 的 方式 面向 整个 网 络 ， 统 一 为 
各 应 用 系统 提供 授权 管理 服务 。 

授权 管理 基础 设施 PMI 在 体系 结构 上 可 以 分 为 信任 源 点 SOA 中 心 、 属 性 权威 机 构 AA 中 
心 和 AA 代理 点 三 级 。 在 实际 应 用 中 ， 这 种 分 级 体系 可 以 根据 需要 进行 灵活 配置 ， 可 以 是 三 
级 、 二 级 或 一 级 ， 图 12-4 为 权限 管理 基础 设施 的 总 体 架构 示意 图 。 


| ] 
授权 服务 中 心 | | 授权 服务 中 心 授权 服务 中 心 
AA AA AA 


证 书 服务 层 


证 书 应 用 层 。 | 安全 策略 服务 LDAP 服 务 | 操作 授权 服务 ] 


12-4 权限 管理 基础 设施 总 体 架构 示意 图 


口 信任 源 点 SOA 

SOA 是 整个 授权 管理 体系 的 中 心 业务 节点 ， 也 是 整个 授权 管理 基础 设施 的 最 终 信任 源 和 
最 高 管理 机 构 。 

SOA 中 心 的 职责 主要 包括 授权 管理 策略 的 管理 、 应 用 授权 受理 、AA 中 心 的 设立 审核 及 
管理 和 授权 管理 体系 业务 的 规范 化 等 。 

口 属性 权威 机 构 AA 

AA 是 PMI 的 核心 服务 节点 ， 对 应 于 具体 应 用 系统 的 授权 管理 分 系统 ， 由 具有 设立 AA 
中 心 业务 需求 的 各 种 应 用 单位 负责 建设 ， 并 与 SOA 中 心 通过 业务 协议 达成 相互 信任 的 关系 。 

口 授权 服务 代理 点 

授权 服务 代理 点 是 PMI 的 用 户 代理 节点 ， 也 称 为 资源 管理 中 心 ， 是 与 具体 应 用 用 户 的 接 
口 ， 是 对 应 AA 中 心 的 附属 机 构 ， 接 受 AA 中 心 的 直接 管理 ， 由 各 AA 中 心 负责 建设 , 报 经 主 
管 的 SOA 中 心 同意 ， 并 签发 相应 的 证 书 。AA 代理 点 的 设立 和 数目 由 各 AA 中 心 根据 自身 的 
业务 发 展 需求 而 定 。 

口 访问 控制 执行 者 

访问 控制 执行 者 是 指 用 户 应 用 系统 中 具体 对 授权 验证 服务 的 调用 模块 ， 因 此 实际 上 并 不 
属于 授权 管理 基础 设施 ， 但 是 却 是 授权 管理 体系 的 重要 组 成 部 分 。 

访问 控制 执行 者 的 主要 职责 是 : 将 最 终 用 户 针 对 特定 的 操作 授权 所 提交 的 授权 信息 (属性 
证 书 ) 连 同 对 应 的 身份 验证 信息 〈 公 钥 证 书 ) 一 起 提交 到 授权 服务 代理 点 ， 并 根据 授权 服务 中 
心 返回 的 授权 结果 ， 进 行 具体 的 应 用 授权 处 理 。 


在 PKI 的 基础 上 ，PMI 实际 上 提出 了 一 个 新 的 信息 保护 基础 设施 ， 能 够 与 PKI 和 目录 服 
务 紧 密 地 集成 。 PMI 作为 一 个 基础 设施 能 够 系统 地 建立 起 对 认可 用 户 的 授权 。PMI 通过 结合 
授权 管理 系统 和 身份 认证 系统 补充 了 PKI 的 弱点 , 提供 了 将 PKI 集成 到 应 用 计算 环境 的 模型 。 

一 般 来 讲 ，PMI 权限 管理 和 授权 服务 基础 平台 应 该 满足 如 下 需求 。 

口 作为 权限 管理 和 授权 服务 的 基础 设施 ， 可 以 为 不 同类 型 的 应 用 提供 授权 管理 和 访问 控 

制 的 平台 支持 。 

口 平台 策略 的 制定 应 该 灵活 ， 能 够 根据 不 同 的 情况 制定 出 不 同 的 策略 。 

口 平台 管理 功能 的 操作 应 该 简单 。 

口 平台 应 该 具有 很 好 的 扩展 能 力 。 

口 平台 应 该 具有 较 好 的 效率 ， 避 免 决策 过 程 明显 地 影响 访问 速度 。 

口 平台 应 该 独立 于 任何 应 用 。 


随 着 信息 安全 市 场 的 成 熟 ， 对 访问 控制 产品 的 兴趣 和 认识 的 日 益 增长 ，PMI 系统 表现 出 
了 良好 的 应 用 前 景 。 PMI 应 用 能 够 有 效 地 增强 系统 的 安全 性 ， 改 变现 有 的 多 种 权限 管理 模型 
带 来 的 权限 管理 混乱 状况 ， 降 低 应 用 系统 的 开发 成 本 ， 提 高 企业 的 效率 。 

口 在 国家 电子 政务 中 应 用 

国家 信息 安全 基础 设施 〈NISI) 由 公开 密 钥 基础 设施 和 授权 管理 基础 设施 组 成 。 其 中 ， 
公开 密 钥 〈 简 称 “ 公 钥 ”) 基础 设施 构成 所 谓 的 PKI 信息 安全 平台 ， 提 供 智能 化 的 信任 服务 ; 


而 授权 管理 基础 设施 PMI 构成 所 谓 的 授权 管理 平台 ， 在 PKI 信息 安全 平台 的 基础 上 提供 智能 
化 的 授权 服务 。 

采用 公 钥 密码 体制 构建 公 钥 基础 设施 PKI, 是 在 大 型 开放 的 网 络 环境 下 解决 信息 安全 问题 
的 最 可 行 、 最 有 效 的 办 法 。 公 钥 基础 设施 是 国家 信息 安全 建设 中 极其 关键 的 基础 性 设施 ， 它 
在 底层 网 络 基础 设施 的 基础 上 构建 了 一 个 一 致 的 信息 安全 服务 层面 ， 可 以 满足 各 种 应 用 在 安 
全 方面 的 需求 。 

PMI 以 一 个 身份 鉴别 体系 〈 如 PKI 体系 ) 为 基础 ， 向 应 用 系统 提供 全 面 统一 的 授权 管理 
和 访问 控制 服务 。 授 权 管理 基础 设施 PMI 主要 提供 分 布 式 计算 环境 中 应 用 系统 的 访问 控制 功 
能 ， 通 过 将 访问 控制 机 制 从 具体 应 用 系统 的 开发 和 管理 中 分 离 出 来 ， 使 访问 控制 机 制 与 应 用 
系统 之 间 能 灵活 而 方便 地 结合 和 使 用 。 具 有 我 国 自主 知识 产权 的 授权 管理 基础 设施 现 已 研发 
成 功 。 

可 信 时 间 戳 服务 系统 是 国家 信息 安全 基础 设施 的 另 一 重要 组 成 部 分 ， 它 将 精确 授时 技术 
和 公 钥 基础 设施 技术 有 机 地 结合 起 来 ， 通 过 对 证 书 或 相关 的 数据 加 上 时 间 标 记 ， 以 此 建立 证 
据 表明 证 书 或 数据 的 存在 和 有 效 性 ， 从 而 为 电子 政务 的 各 种 应 用 提供 可 靠 的 时 间 戳 服务 。 

授权 管理 基础 设施 PKI 技术 是 一 个 新 出 现 的 领域 ， 我 国 在 这 方面 的 研究 比 国外 先进 水 平 
落后 不 多 ， 由 于 电子 政务 应 用 自身 的 特点 ，PKI 技术 将 在 整个 电子 政务 系统 中 发 挥 重 要 作用 。 

口 基于 PKIUPMI 的 IP 宽带 城 域 网 安全 应 用 

采用 PKIPMI 体系 构建 信任 与 授权 服务 支撑 平台 , 为 IP 宽带 城 域 网 提供 信任 服务 和 授权 
服务 。 平 台 通过 对 实体 的 PKC (包括 用 户 个 人 信息 ， 如 序列 号 、IP 地 址 、MAC 地 址 等 信息 ) 
和 AC (包括 用 户 的 属性 信息 ， 如 角色 、 访 问 控制 权限 等 ) 的 认证 、 授 权 、 管 理 来 建立 一 个 统 
一 的 智能 化 信任 与 授权 基础 环境 ， 确 立 了 “一 实体 一 证 、 统 一 发 证 、 分 布 式 逐 级 管理 ”的 人 P 
宽带 城 域 网 运营 管理 模式 。 

其 中 ,“ 一 实体 一 证 ”是 由 PKC 的 唯一 性 ， 准 确 地 标识 用 户 身份 ;“ 统 一 发 证 ”是 指 由 第 
三 方 证 书 认 证 中 心 (CA) 认证 机 构 负 责 统一 签发 PP 宽带 城 域 网 的 用 户 、 设 备 的 PKC， 由 信 
任 与 授权 服务 支撑 平台 提供 AC 的 统一 签发 并 实现 证 书 的 统一 管理 ， 保 证 网 络 信任 域 管理 服 
务 ;“ 分 布 式 逐 级 管理 ”是 指 按 实际 的 责任 和 管理 范围 来 划分 网 络 信任 域 ， 每 个 城市 或 地 区 的 
卫 宽带 城 域 网 系统 也 可 以 根据 用 户 类 型 划分 基本 信任 域 (如 可 区 别 普通 家 庭 用 户 、 大 客户 等 )， 
每 个 基本 信任 域 都 由 自己 的 管理 系统 负责 本 信任 域 的 管理 ， 网 络 信任 域 管理 系统 通过 信任 与 
授权 服务 支撑 平台 提供 信任 与 授权 服务 的 支持 。 以 此 模式 构筑 了 一 个 责任 明确 、 管 理 方便 、 
覆盖 全 系统 的 网 络 信任 域 及 管理 体系 。 

例如 ， 深 圳 电信 采用 了 当今 先进 的 网 络 产品 和 技术 ， 充 分 开展 各 种 先进 的 卫 网 络 服务 ， 
代表 了 目前 我 国 各 大 城市 中 最 新 的 人 P 宽带 城 域 网 网 络 状况 。 该 项 目的 关键 技术 是 将 我 国 具有 
自主 知识 产权 的 PKI 和 PMI 等 信息 安全 关键 技术 , 应 用 到 电信 卫 宽带 网 中 来 , 构建 了 信息 安 
全 基础 设施 平台 。 其 中 采用 数字 证 书 方式 实现 电信 宽带 人 网 络 的 用 户 认 证 和 授权 ， 从 而 实现 
卫 宽带 网 的 可 控制 、 可 管理 、 可 经 营 。 


12.5 ”属性 权威 和 权限 管理 


权限 管理 基础 设施 PMI 是 一 个 由 属性 证 书 、 属 性 权威 、 属 性 证 书库 等 部 件 构成 的 综合 系 


统 ， 用 来 实现 属性 证 书 的 产生 、 管 理 、 存 储 、 分 发 和 撤销 等 功能 。 
12.5.1 属性 权威 


属性 权威 〈Attribute Authority，AA) 是 用 来 生成 并 签发 属性 证 书 (Attribute Certificate， 
AC) 的 机 构 。 主 要 负责 管理 证 书 的 整个 生命 周期 。 

AA 可 划分 为 两 种 类 型 : 一 类 相当 于 SOA， 可 发 布 AA 证 书 ; 一 类 则 只 发 布 属性 证 书 ， 
不 能 发 布 AA 证 书 。 

AA 负责 对 最 终 实体 或 者 其 他 属性 管理 机 构 进行 授权 。 在 授予 一 种 特权 之 前 ,该 AA 必须 
已 经 拥有 该 特权 。 也 就 是 说 该 AA 必须 已 经 被 授予 是 这 项 权力 或 者 这 项 特权 的 源头 。 

另外 ，AA 也 可 能 需要 为 其 发 布 的 证 书签 发 撤销 通知 。 但 对 于 短 生命 周期 的 证 书 来 讲 ， 撤 
销 通知 是 不 必要 的 ， 因 此 通常 并 不 要 求 发 布 撤销 通知 。 然 而 ，AA 需要 标识 其 签发 的 证 书 是 否 
补充 撤销 信息 ， 如 果 是 ， 那 么 还 应 该 包含 其 存放 位 置 。 

AA 和 CA 在 逻辑 上 完全 独立 。 身份 的 创建 和 维护 应 该 与 PMI 分 离开 来 , 因此 一 个 完整 的 
PKI 包括 CA， 可 能 在 PMI 建立 之 前 已 经 存在 并 且 可 用 。 尽 管 CA 是 域 身份 权威 的 源 ， 但 它 不 
是 自动 权限 的 权威 源 ， 因 此 ，CA 本 身 不 必 是 AA。 

在 实际 应 用 PMI 系统 构建 安全 应 用 时 ， 属 性 权威 AA 的 能 力 和 应 用 方式 可 以 根据 具体 的 
建设 要 求 和 成 本 来 灵活 确定 。 例 如 ， 在 一 个 较 小 的 网 络 应 用 中 ， 系 统 的 使 用 人 员 和 资源 较 少 ， 
可 以 采用 嵌入 式 的 属性 权威 AA 签发 和 管理 属性 证 书 ， 从 而 减少 建设 成 本 和 管理 开销 。 而 在 
一 个 由 多 个 应 用 组 成 的 较 大 系统 中 ， 则 存在 着 大 量 的 用 户 和 资源 ， 并 对 系统 的 整体 安全 性 有 
很 高 的 要 求 ， 此 时 可 以 考虑 建立 属性 权威 中 心 将 所 有 的 应 用 划分 到 同一 个 安全 域 中 ， 由 PMI 
的 整体 安全 策略 和 授权 策略 来 实现 整个 系统 范围 内 的 所 有 应 用 的 整体 安全 访问 。 这 样 ， 不 仅 
可 以 减少 属性 权威 AA 的 重复 性 投资 ， 而 且 可 以 通过 较为 集中 的 管理 模式 减少 管理 的 复杂 性 
和 开销 ， 并 带 来 更 好 的 全 局 安全 性 。 

一 般 来 讲 ， 一 个 属性 权威 AA 主要 由 AC 签发 、 受 理 和 管理 、 数 据 库 服务 器 、 目 录 服 务 器 
几 部 分 组 成 ， 其 中 数据 库 服务 器 不 是 必需 的 ， 图 12-5 为 AA 结构 示意 图 。 其 中 ， 各 组 成 部 分 
有 以 下 说 明 。 


图 12-5 AA 结构 示意 图 


口 AC 签发 ”该 服务 是 属性 权威 AA 的 主体 ， 是 以 PKI 技术 为 基础 ， 以 授权 服务 为 主要 
任务 的 服务 模块 ， 用 于 签发 属性 证 书 ， 该 服务 可 以 由 一 台独 立 的 服务 器 提供 ， 也 可 以 
由 证 书签 发 模块 提供 。 

口 AA 受理 主要 用 于 接受 并 验证 对 属性 证 书 的 请 求 ， 以 及 处 理 该 请 求 ， 提 供 基 于 属性 
证 书 的 授权 服务 、 基 于 属性 证 书 的 委托 服务 等 。 

口 AA 管理 用 于 管理 属性 权威 AA。 

口 数据 库 主要 是 用 于 存储 用 户 和 资源 的 基本 信息 ， 也 可 以 将 这 些 信息 直接 放 入 LDAP 
目录 服务 器 中 。 

口 LDAP 目录 服务 器 ”主要 用 于 发 布 PMI 用 户 的 属性 证 书 以 及 属性 证 书 的 撤销 列表 
( Attribute Certificate Revocation List，ACRL )， 以 供 查询 使 用 。 该 服务 器 可 以 直接 存放 
用 户 和 资源 信息 ， 这 样 可 以 不 使 用 数据 库存 放 这 些 信 息 。 


在 企业 或 公司 网 络 中 ， 各 业务 应 用 系统 在 创建 属性 权威 AA 时 ， 应 该 根据 系 
统 内 用 户 的 数量 及 管理 模式 来 确定 AA 属性 权威 、LDAP 服务 器 的 服务 能 力 ， 
并 相应 地 确定 与 当前 系统 相 适应 的 服务 能 力 完 余 备 份 和 性 能 扩展 方案 ， 以 确 
保 整 个 PMI 服 务 能 力 具 有 延续 性 和 良好 的 业务 量 适应 能 力 。 


12.5.2 ”权限 管理 


权限 管理 和 访问 控制 是 信息 安全 保障 机 制 的 核心 内 容 ， 它 是 实现 数据 保密 性 和 完整 性 的 
主要 手段 ， 限 制 访问 主体 (如 用 户 、 进 程 、 服 务 等 ) 对 访问 客体 (需要 保护 的 资源 ) 的 访问 
权限 ， 从 而 使 计算 机 系统 在 合法 范围 内 使 用 。 


传统 的 应 用 系统 通常 是 通过 使 用 “用 户 名 十 口令 ”的 方式 来 控制 用 户 对 应 用 系统 的 访问 
权限 。 系 统 通 过 验证 用 户 在 登录 系统 时 输入 的 用 户 名 和 口令 来 确定 用 户 的 身份 ， 同 时 ， 通 过 
维护 一 张 访问 控制 列表 ACL 确定 每 个 用 户 对 特定 系统 对 象 的 操作 权限 。 这 种 方法 因为 简便 易 
行 而 得 到 了 普遍 的 应 用 。 但 是 ， 对 于 一 些 大 型 的 企业 或 公司 来 说 ， 其 网 络 结构 比较 复杂 ， 应 
用 系统 较 多 ， 用 户 数量 巨大 ， 采 用 这 种 方式 需要 不 同 的 应 用 系统 分 别针 对 其 保护 的 资源 进行 
权限 的 管理 和 控制 ， 会 产生 以 下 几 个 问题 。 

口 权限 管理 混乱 

对 一 个 组 织 机 构 而 言 ， 数 据 和 人 力 资源 是 统一 的 。 但 是 由 于 系统 设计 的 原因 ， 可 能 同时 
对 相同 的 人 员 采 用 不 同 的 管理 方式 ， 对 机 构 内 的 共享 数据 采用 不 同 的 权限 分 配 策略 ， 这 显然 
不 合理 ， 也 不 利于 对 机 构 资源 的 管理 。 

口 系统 安全 性 较 低 

不 同 的 权限 管理 策略 产生 的 安全 强度 不 同 ， 这 就 可 能 造成 机 构 信 息 安 全 管理 的 漏洞 ， 入 
侵 者 就 有 可 能 针对 那些 权限 管理 相对 不 安全 的 系统 进行 集中 攻击 ， 给 资源 的 安全 性 带 来 极 大 
的 危害 。 


口 权限 管理 依赖 于 访问 控制 应 用 

权限 的 赋予 和 撤销 都 是 在 访问 控制 应 用 中 产生 的 ， 不 同 的 访问 控制 应 用 之 间 尽 管 有 相同 
的 用 户 和 授权 策略 却 不 能 互相 使 用 对 方 产生 的 权限 。 每 个 应 用 都 要 维护 自己 的 用 户 信息 和 授 
权 方 法 ， 权 限 无 法 在 分 布 的 应 用 中 和 远程 应 用 中 使 用 。 

口 资源 所 有 者 没有 权限 

应 用 系统 负责 权限 的 发 放 和 使 用 ， 造 成 权限 真正 的 拥有 者 不 能 及 时 有 效 地 更 改 和 发 布 实 
时 的 权限 信息 。 比 如 ， 机 构 内 一 个 人 职务 或 业务 的 变化 必须 通知 相关 的 不 同 应 用 分 别 进行 更 
新 。 从 本 质 上 讲 ， 权 限 的 发 放 和 权限 的 鉴别 使 用 是 完全 不 同 的 两 个 过 程 ， 完 全 可 以 分 开 ， 权 
限 的 拥有 者 发 放权 限 ， 而 由 资源 的 保护 者 验证 权限 。 

口 增加 了 系统 管理 员 的 负担 

由 于 不 同 的 系统 采用 的 是 不 同 的 权限 管理 策略 ， 系 统管 理 员 不 得 不 熟悉 和 操作 不 同 的 权 
限 管理 模式 ， 这 无 疑 增加 了 系统 管理 员 的 负担 。 另 外 ， 对 于 大 型 复杂 的 应 用 系统 采用 权限 访 
问 控制 列表 的 方式 来 分 配 权 限 ， 也 给 系统 管理 员 带 来 巨大 负担 且 容易 出 错 。 

口 开发 复杂 且 费 用 高 

设计 一 个 新 的 安全 应 用 系统 时 ， 权 限 管理 是 一 个 极其 重要 的 部 分 。 在 缺乏 统一 的 权限 管 
理 模型 的 情况 下 ， 设 计 人 员 要 考虑 选择 何 种 权限 管理 模型 和 访问 控制 授权 方案 ， 而 且 开 发 人 
员 也 要 根据 不 同 的 应 用 花费 较 大 的 代价 来 实现 权限 管理 功能 。 


在 权限 管理 系统 中 也 存在 安全 策略 管理 的 问题 ， 同 一 权限 管理 系统 将 遵循 相同 的 安全 策 
略 提供 权限 管理 服务 ， 不 同 的 权限 管理 系统 之 间 的 互通 必须 以 策略 的 一 致 为 前 提 。 
在 PMI 中 采用 基于 角色 的 权限 管理 (Role Based Access Control，RBAC) 技术 ， 它 的 特 
点 是 通过 将 一 组 权限 赋予 角色 ， 将 角色 赋予 使 用 者 的 二 级 映射 模式 ， 使 角色 成 为 权限 与 使 用 
者 之 间 多 对 多 映射 的 纽带 。 基 于 角色 的 权限 管理 防止 了 用 户 和 权限 直接 相关 联 ， 使 授权 过 程 
与 具体 的 应 用 相 分 离 ， 是 目前 公认 的 解决 大 型 组 织 的 统一 资源 权限 管理 的 有 效 方法 。 
基于 角色 的 权限 管理 定义 了 以 下 5 个 基本 要 素 。 
口 访问 对 象 (Objects ) 指 包含 或 接收 信息 的 对 象 ， 是 权限 管理 系统 保护 的 资源 。 
口 操作 ( Operations ) 指 对 一 个 或 多 个 访问 对 象 执 行 的 指令 ， 操 作 的 类 型 与 访问 的 对 象 
有 关 。 
口 使 用 者 (Users ) 指使 用 访问 控制 系统 试图 操作 访问 对 象 的 人 。 
口 权限 (Permissions ) 指 对 一 个 或 多 个 访问 对 象 的 操作 的 许可 。 
口 角色 (Roles ) 指 一 个 组 织 或 任务 中 的 工作 或 位 置 ， 它 代表 了 一 种 资格 、 权 利和 责任 。 
另外 ， 基 于 角色 的 权限 管理 的 实行 包括 如 下 3 个 阶段 。 
口 权限 定义 资源 的 拥有 者 为 每 个 访问 对 象 设置 可 执行 的 操作 ， 形 成 权限 。 
口 角色 定义 定义 组 织 中 的 各 个 角色 名 称 ， 并 将 角色 与 确定 权限 绑 定 在 一 起 。 一 个 角色 
可 以 拥有 多 个 权限 ， 一 个 权限 可 以 赋予 多 个 角色 。 
口 角色 分 配 ”将 使 用 者 与 角色 绑 定 在 一 起 ， 则 该 使 用 者 拥有 该 角色 所 对 应 的 权限 ， 可 以 
对 访问 对 象 进行 权限 中 允许 的 操作 。 一 个 使 用 者 可 以 赋予 多 个 角色 ， 一 个 角色 可 以 被 
赋予 多 个 权限 。 
与 传统 的 权限 管理 模式 相 比 ， 基 于 PMI 技术 的 权限 管理 模式 主要 存在 以 下 3 个 方面 的 


优势 。 

口 权限 管理 的 灵活 性 

基于 PMI 技术 的 权限 管理 模式 可 以 通过 属性 证 书 的 有 效 期 以 及 委托 授权 机 制 来 灵活 地 进 
行 权限 管理 ， 实 现 了 强制 访问 控制 模式 与 自主 访问 控制 模式 的 有 机 结合 。 采 用 属性 证 书 机 制 
的 权限 管理 技术 对 授权 管理 信息 提供 了 更 多 的 保护 功能 。 

口 权限 操作 与 业务 操作 相 分 离 

基于 PMI 技术 的 权限 管理 模式 将 业务 管理 工作 与 权限 管理 工作 完全 分 离 ， 更 加 明确 业务 
管理 员 和 安全 管理 员 之 间 的 职责 分 工 ， 可 以 有 效 地 避免 由 于 业务 管理 人 员 参 与 到 权限 管理 活 
动 中 而 带 来 的 一 些 问题 。 

口 多 权限 模型 的 灵活 支持 

基于 PMI 技术 的 权限 管理 模式 将 整个 权限 管理 体系 从 应 用 系统 中 分 离 出 来 ， 权 限 管理 模 
块 自身 的 维护 和 更 新 操作 将 与 具体 的 应 用 系统 无 关 ， 可 以 在 不 影响 原 有 应 用 系统 正常 运行 的 
前 提 下 ， 实 现 对 多 权限 模型 的 支持 。 


12.6 ”基于 PMI 建立 安全 应 用 


在 过 去 的 几 年 里 , PKI 已 经 成 为 电子 商务 、 企 业 办 公 等 网 络 应 用 中 不 可 或 缺 的 安全 支撑 系 
统 。 它 通过 方便 灵活 的 密 钥 和 证 书 管理 方式 ， 提 供 了 在 线 身 份 认 证 的 有 效 手 段 ， 为 访问 控制 
系统 、 抗 抵赖 、 保 密 性 等 安全 机 制 在 系统 中 的 实施 黄 定 了 基础 。 

随 着 网 络 应 用 的 深入 和 发 展 ， 仅 仅 能 够 确定 “他 是 谁 ” 已 经 不 能 够 满足 当今 的 需要 ， 安 
全 系统 要 求 能 够 提供 一 种 手段 进一步 确定 “他 能 做 什么 ” 因此 ， 基 于 PMI 建立 安全 应 用 变 得 
尤为 重要 。 


12.6.1 PMI 应 用 结构 


PMI 作为 一 个 基础 设施 能 够 系统 地 建立 起 对 认可 用 户 的 授权 。 通 过 结合 授权 管理 系统 和 
身份 认证 系统 补充 了 PKI 的 弱点 。PMI 作为 权限 管理 和 授权 服务 的 基础 设施 ， 可 以 为 不 同类 
型 的 应 用 提供 授权 管理 和 访问 控制 的 平台 支持 。 

PMI 建立 在 PKI 提供 的 可 信 身份 认证 服务 的 基础 上 , 以 属性 证 书 的 形式 实现 授权 的 管理 ， 
PMI 体系 和 模型 的 核心 内 容 是 实现 属性 证 书 的 有 效 管理 ， 包 括 属性 证 书 的 产生 、 使 用 、 吊 销 、 
失效 等 。 

一 般 来 讲 ， 与 PKI 相同 ，PMI 同样 由 多 个 部 分 组 成 ， 并 由 这 些 部 分 构成 了 自身 的 应 用 结 
构 ， 图 12-6 为 PMI 应 用 结构 示意 图 。 

在 PMI 应 用 结构 中 ， 有 关 各 部 分 的 说 明 如 下 。 

口 访问 者 、 目 标 

访问 者 是 一 个 实体 (该 实体 可 能 是 人 ， 也 可 能 是 其 他 计算 机 实体 )， 它 试图 访问 系统 内 的 
其 他 实体 (目标 )。 


PKI | 


为 用 户 签发 身份 证 书 为 AA 等 发 身份 证 书 


应 用 策略 支撑 框架 属性 证 书签 发 系统 


图 12-6 PMI 应 用 结构 示意 图 


口 策略 

授权 策略 展示 了 一 个 机 构 在 信息 安全 和 授权 方面 的 项 层 控制 以 及 授权 遵循 的 原则 和 具体 
的 授权 信息 。 在 一 个 机 构 的 PMI 应 用 中 ， 策 略 应 当 包 括 一 个 机 构 如 何 将 它 的 人 员 和 数据 进行 
分 类 组 织 ， 这 种 组 织 方式 应 该 考虑 到 具体 应 用 的 实际 运行 环境 ， 如 数据 的 敏感 性 、 人 员 权 限 
的 明确 划分 以 及 必须 和 相应 人 员 层 次 相 匹配 的 管理 层次 等 因素 。 所 以 策略 的 制定 需要 根据 具 
体 的 应 用 量 身 定做 。 

有 具体 地 说 ， 策 略 包 含 着 应 用 系统 中 的 所 有 用 户 和 资源 信息 以 及 用 户 和 信息 的 组 织 管理 方 
式 ; 用 户 和 资源 之 间 的 权限 关系 ; 保证 安全 的 管理 授权 约束 ; 保证 系统 安全 的 其 他 约束 。 在 
PMI 中 主要 使 用 基于 角色 的 访问 控制 (RBAC，Role-Based Access Control)。 

口 属性 证 书 (AC ) 

AC 是 PMI 的 基础 概念 ， 它 是 权威 签名 的 数据 结构 ， 将 权限 和 实体 信息 绑 定 在 一 起 。 属 
性 证 书 中 包含 了 用 户 在 某 个 具体 的 应 用 系统 中 的 角色 信息 ， 而 该 角色 有 具有 什么 样 的 权限 是 在 
策略 中 制定 的 。 

口 AA 

属性 证 书 的 签发 者 称 为 属性 权威 “AA)， 属 性 权威 AA 的 根 称 为 信任 源 点 SOA。 

口 ARA 

属性 证 书 的 注册 申请 机 构 称 为 属性 注册 权威 ARA。 

口 LDAP 

用 来 存储 签发 的 属性 证 书 和 属性 证 书 撤销 列表 。 

口 策略 实施 

策略 实施 点 〈Policy Enforcement Points，PEPs) 也 称 为 PMI 激活 的 应 用 ， 对 每 一 个 具体 
的 应 用 可 能 是 不 同 的， 是 指 已 经 通过 接口 插件 或 者 代理 所 修改 过 的 应 用 或 者 服务 。 这 种 应 用 
或 服务 被 用 来 实施 一 个 应 用 内 部 的 策略 决策 ， 介 于 访问 者 和 目标 之 间 ， 当 访问 者 申请 访问 时 ， 
策略 实施 点 向 授权 策略 服务 器 申请 授权 ， 并 根据 授权 决策 的 结果 实施 决策 ， 即 对 目标 执行 访 
问 或 者 拒绝 访问 。 在 具体 的 应 用 中 ， 策 略 实施 点 可 能 是 应 用 程序 内 部 中 进行 访问 控制 的 一 段 


代码 ， 也 可 能 是 安全 的 应 用 服务 器 (如 在 Web 服务 器 上 增加 一 个 访问 控制 插件 )， 或 者 是 进行 
访问 控制 的 安全 应 用 网 关 。 

口 策略 决策 

策略 决策 点 (Policy Decision Point，PDP) 也 叫 授 权 策略 服务 器 ， 它 接收 和 评价 授权 请 求 ， 
根据 具体 策略 做 出 不 同 的 决策 。 它 一 般 不 随 具 体 的 应 用 而 发 生变 化 ， 是 一 个 通用 的 处 理 判断 
逻辑 。 当 接收 到 一 个 授权 请 求 时 ， 根 据 授权 的 策略 、 访 问 者 的 安全 属性 以 及 当前 条 件 进 行 决 
策 ， 并 将 决策 结果 返回 给 应 用 。 对 于 不 同 应 用 的 支持 是 通过 解析 不 同 的 定制 策略 来 完成 的 。 


12.6.2 访问 控制 模型 


访问 控制 是 网 络 安全 防范 和 保护 的 核心 策略 ， 它 的 主要 任务 是 保证 网 络 资源 不 被 非法 使 
用 和 访问 。 访 问 控制 规定 了 主体 对 客体 访问 的 限制 ， 并 在 身份 识别 的 基础 上 ， 根 据 身份 对 提 
出 资源 访问 的 请 求 加 以 控制 。 它 是 对 信息 系统 资源 进行 保护 的 重要 措施 ， 也 是 计算 机 系统 最 
重要 和 最 基础 的 安全 机 制 。 


人 自主 访问 控制 术 型 


自主 访问 控制 模型 (Discretionary Access Control Model，DAC Model) 是 根据 自主 访问 控 
制 策略 建立 的 一 种 模型 ， 允 许 合法 用 户 以 用 户 或 用 户 组 的 身份 访问 策略 规定 的 客体 ， 同 时 阻 
止 非 授权 用 户 访问 客体 ， 某 些 用 户 还 可 以 自主 地 把 自己 所 拥有 的 客体 的 访问 权限 授予 其 他 
用 户 。 

自主 访问 控制 又 称 为 任意 访问 控制 。 在 Linux，UNIX、Windows NT 或 是 Server 版 本 的 
操作 系统 中 都 有 自主 访问 控制 的 功能 。 在 实现 上 ， 首 先 要 对 用 户 的 身份 进行 鉴别 ， 然 后 就 可 
以 按照 访问 控制 列表 所 赋予 用 户 的 权限 允许 和 限制 用 户 使 用 客体 的 资源 。 主 体 控制 权限 的 修 
改 通常 由 特权 用 户 或 是 特权 用 户 (管理 员 ) 组 实现 。 

任意 访问 控制 对 用 户 提供 的 这 种 灵活 的 数据 访问 方式 , 使 得 DAC 广泛 应 用 在 商业 和 工业 
环境 中 。 例 如 ， 由 于 用 户 可 以 任意 传递 权限 ， 那 么 ， 没 有 访问 文件 Filel 权限 的 用 户 就 能 够 从 
有 访问 权限 的 用 户 那 里 得 到 访问 权限 或 是 直接 获得 文件 Filel。 因 此 ，DAC 模型 提供 的 安全 防 
护 还 是 相对 比较 低 的， 不 能 给 系统 提供 充分 的 数据 保护 。 

自主 访问 控制 模型 的 特点 是 授权 的 实施 主体 (可 以 授权 的 主体 、 管 理 授权 的 客体 和 授权 
组 ) 自主 负责 赋予 和 回收 其 他 主体 对 客体 资源 的 访问 权限 。DAC 模型 一 般 采 用 访问 控制 矩阵 
和 访问 控制 列表 来 存放 不 同 主体 的 访问 控制 信息 ， 从 而 达到 对 主体 访问 权限 的 限制 目的 。 


强制 访问 控制 模型 (Mandatory Access Control Model，MAC Model) 最 初 是 为 了 实现 比 
DAC 更 为 严格 的 访问 控制 策略 ， 美 国政 府 和 军 方 开发 了 各 种 各 样 的 控制 模型 ， 这 些 方案 或 模 
型 都 有 比较 完善 和 详尽 的 定义 。 随 后 ， 逐 渐 形 成 强制 访问 控制 模型 ， 并 得 到 广泛 的 商业 关注 
和 应 用 。 

在 DAC 访问 控制 中 ,用 户 和 客体 资源 都 被 赋予 一 定 的 安全 级 别 ， 用 户 不 能 改变 自身 和 客 
体 的 安全 级 别 ， 只 有 管理 员 才 能 确定 用 户 和 组 的 访问 权限 。 和 DAC 模型 不 同 的 是 ，MAC 是 


一 种 多 级 访问 控制 策略 ， 其 主要 特点 是 系统 对 访问 主体 和 受 控 对 象 实行 强制 访问 控制 ， 系 统 
事先 给 访问 主体 和 受 控 对 象 分 配 不 同 的 安全 级 别 属 性 ， 在 实施 访问 控制 时 ， 系 统 先 对 访问 主 
体 和 受 控 对 象 的 安全 级 别 属性 进行 比较 ， 再 决定 访问 主体 能 否 访问 该 受 控 对 象 。 
MAC 对 访问 主体 和 受 控 对 象 标识 了 具有 偏 序 关 系 的 安全 等 级 标记 和 非 等 级 分 类 标记 两 
个 安全 标记 。 主 体 和 客体 在 分 属 不 同 的 安全 类 别 时 ， 都 属于 一 个 固定 的 安全 类 别 SC，SC 就 
构成 一 个 偏 序 关 系 〈 比 如 TS 表示 绝密 级 ， 就 比 密级 S 要 高 )。 当 主体 的 安全 类 别 为 TS， 而 客 
体 的 安全 类 别 为 S 时 ， 用 偏 序 关系 可 以 表述 为 SC (s) 三 SC(o)。 考 虑 到 偏 序 关系 ， 主 体 对 
客体 的 访问 主要 有 4 种 方式 。 
口 向 下 读 (read down，rd) 主体 安全 级 别 高 于 客体 信息 资源 的 安全 级 别 时 允许 查阅 的 
读 操作 。 

口 向 上 读 (read up，ru) 主体 安全 级 别 低 于 客体 信息 资源 的 安全 级 别 时 允许 的 读 操作 。 

口 向 下 写 (write down，wd) 主体 安全 级 别 高 于 客体 信息 资源 的 安全 级 别 时 允许 执行 
的 动作 或 是 写 操作 。 

口 向 上 写 (write up，wu) 主体 安全 级 别 低 于 客体 信息 资源 的 安全 级 别 时 允许 执行 的 动 
作 或 是 写 操作 。 

由 于 MAC 通过 分 级 的 安全 标签 实现 了 信息 的 单 向 流通 , 因此 它 一 直 被 军 方 采用 , 其 中 最 
著名 的 是 Bell-LaPadula 模型 和 Biba 模型 。Bell-LaPadula 模型 具有 只 允许 向 下 读 、 向 上 写 的 特 
点 ， 可 以 有 效 地 防止 机 密 信息 向 下 级 泄露 Biba 模型 则 具有 不 允许 向 下 读 、 向 上 写 的 特点 ， 
可 以 有 效 地 保护 数据 的 完整 性 。 


基于 角色 的 访问 控制 模型 (Role-based Access Model，RBAC Model) 将 访问 许可 权 分 配 
给 一 定 的 角色 ， 用 户 通 过 扮演 不 同 的 角色 获得 角色 所 拥有 的 访问 许可 权 。 这 是 因为 在 很 多 实 
际 应 用 中 ， 用 户 并 不 是 可 以 访问 的 客体 信息 资源 的 所 有 者 〈 这 些 信息 属于 企业 或 公司 )， 这 样 
的 话 ， 访 问 控制 应 该 基于 员工 的 职务 而 不 是 基于 员工 在 哪个 组 ， 即 访问 控制 是 由 各 个 用 户 在 
部 门 中 所 担任 的 角色 来 确定 的 ， 例 如 ， 一 个 学 校 可 以 有 教工 、 老 师 、 学 生 和 其 他 管理 人 员 等 
角色 。 

RBAC 从 控制 主体 的 角度 出 发 ， 根 据 管理 中 相对 稳定 的 职权 和 责任 来 划分 角色 ， 将 访问 
权限 与 角色 相 联系 ， 这 点 与 传统 的 MAC 和 DAC 将 权限 直接 授予 用 户 的 方式 不 同 ， 通 过 给 用 
户 分 配合 适 的 角色 ， 让 用 户 与 访问 权限 相 联 系 。 角 色 成 为 访问 控制 中 访问 主体 和 受 控 对 象 之 
间 的 一 座 桥 梁 。 

角色 可 以 看 作 是 一 组 操作 的 集合 ， 不 同 的 角色 具有 不 同 的 操作 集 ， 这 些 操作 集 由 系统 管 
理 员 分 配给 角色 。 例 如 , Tchl, Tch2, Tch3, …, Techi 对 应 不 同 的 教师 ; Stud1, Stud 2, Stud3,，…， 
Studj 对 应 不 同 的 学 生 ; Mngl，Mng 2，Mng 3，…，Mngk 对 应 不 同 的 教务 处 管理 人 员 ; 教师 
的 权限 为 TchMN={ 查 询 成 绩 、 上 传 所 教 课 程 的 成 绩 }; 学 生 的 权限 为 Stud MN={ 查 询 成 绩 、 反 
映 意 见 }; 教务 管理 人 员 的 权限 为 MngMN={ 查 询 、 修 改 成 绩 、 打 印 成 绩 清单 }。 那 么 根据 角色 
的 不 同 ， 每 个 主体 只 能 执行 自己 所 制定 的 访问 功能 。 用 户 在 一 定 的 部 门 中 具有 一 定 的 角色 ， 
其 所 执行 的 操作 与 其 所 扮演 的 角色 的 职能 相 匹配 ， 这 正 是 基于 角色 的 访问 控制 的 根本 特征 。 
也 就 是 说 根据 RBAC 策略 ， 系 统 定义 了 各 种 角色 ， 每 种 角色 可 以 完成 一 定 的 职能 ， 不 同 的 用 


户 根据 其 职能 和 责任 被 赋予 相应 的 角色 ， 一 旦 某 个 用 户 成 为 某 角 色 的 成 员 ， 则 此 用 户 可 以 完 
成 该 角色 所 具有 的 职能 。 

系统 管理 员 负责 授 予 用 户 各 种 角色 的 成 员 资格 或 撤销 某 用 户 具有 的 某 个 角色 。 例 如 ， 学 
校 新 进 一 名 教师 Tehx, 那么 系统 管理 员 只 需 将 Tchx 添加 到 教师 这 一 角色 的 成 员 中 即 可 ， 而 无 
需 对 访问 控制 列表 做 改动 。 同 一 个 用 户 可 以 是 多 个 角色 的 成 员 ， 即 同一 个 用 户 可 以 扮演 多 种 
角色 ， 比 如 ， 一 个 用 户 可 以 是 老师 ， 同 时 也 可 以 作为 进修 的 学 生 。 同 样 ， 一 个 角色 可 以 拥有 
多 个 用 户 成 员 〈 这 与 现实 是 一 致 的 )。 一 个 人 可 以 在 同一 部 门 中 担任 多 种 职务 ， 而 且 担任 相 
同 职务 的 可 能 不 止 一 人 。 因 此 RBAC 提供 了 一 种 描述 用 户 和 权限 之 间 的 多 对 多 关系 ， 角 色 
可 以 划分 成 不 同 的 等 级 ， 通 过 角色 等 级 关系 来 反映 一 个 组 织 的 职权 和 责任 关系 ， 这 种 关系 
具有 反 身 性 、 传 递 性 和 非 对 称 性 等 特点 ， 通 过 继承 行为 形成 一 个 偏 序 关系 ， 比 如 MngMN> 
TchMN>Stud MN。 

RBAC 中 通常 定义 不 同 的 约束 规则 来 对 模型 中 的 各 种 关系 进行 限制 , 最 基本 的 约束 是 “ 相 
互 排斥 ”约束 和 “基本 限制 ”约束 ， 它 们 分 别 规定 了 模型 中 的 互 斥 角色 和 一 个 角色 可 被 分 配 
的 最 大 用 户 数 。RBAC 中 引进 了 角色 的 概念 ， 用 角色 表示 访问 主体 具有 的 职权 和 责任 ， 灵 活 
地 表达 和 实现 企业 的 安全 策略 ,使 系统 权限 管理 在 企业 的 组 织 视图 这 个 较 高 的 抽象 集 上 进行 ， 
从 而 简化 权限 设置 的 管理 ， 从 这 个 角度 看 ，RBAC 很 好 地 解决 了 企业 管理 信息 系统 中 用 户 数 
量 多 、 变 动 频繁 的 问题 。 

相 比较 而 言 ，RBAC 是 实施 面向 企业 的 安全 策略 的 一 种 有 效 的 访问 控制 方式 ， 其 具有 灵 
活性 、 方 便 性 和 安全 性 的 特点 ， 目 前 在 大 型 数据 库 系统 的 权限 管理 中 得 到 普遍 应 用 。 和 角色 由 
系统 管理 员 定 义 ， 角 色 成 员 的 增 减 也 只 能 由 系统 管理 员 来 执行 ， 即 只 有 系统 管理 员 有 权 定 义 
和 分 配角 色 。 用 户 与 客体 无 直接 联系 ， 他 只 有 通过 角色 才 享有 该 角色 所 对 应 的 权限 ， 从 而 访 
问 相 应 的 客体 。 因 此 用 户 不 能 自主 地 将 访问 权限 授予 其 他 用 户 , 这 是 RBAC 与 DAC 的 根本 区 
别 。 另 外 ，RBAC 与 MAC 的 区 别 还 在 于 MAC 是 基于 多 级 安全 需求 的 ， 而 RBAC 则 不 是 。 


12.6.3 ”访问 控制 实现 


访问 控制 是 网 络 安全 防范 和 保护 的 重要 手段 ， 它 的 主要 任务 是 维护 网 络 系统 安全 、 保 证 
网 络 资源 不 被 非法 使 用 和 非 正常 访问 。 通 常 在 技术 实现 上 ， 包 括 以 下 几 个 部 分 。 


接 入 访问 控制 为 网 络 访问 提供 了 第 一 层 访问 控制 ， 是 网 络 访问 的 最 先 屏 障 ， 它 控制 哪些 
用 户 能 够 登录 到 服务 器 并 获取 网 络 资源 ， 控 制 准许 用 户 入 网 的 时 间 和 准许 他 们 在 哪 台 工 作 站 
入 网 。 例如，ISP 服务 商 实现 的 就 是 接 入 服务 。 用 户 的 接 入 访问 控制 是 对 合法 用 户 的 验证 ， 通 
常 使 用 用 户 名 和 口令 的 认证 方式 。 一 般 可 分 为 用 户 名 的 识别 与 验证 、 用 户口 令 的 识别 与 验证 
和 用 户 账号 的 默认 限制 检查 这 3 个 步骤 。 


资源 访问 控制 是 对 客体 整体 资源 信息 的 访问 控制 管理 。 其 中 包括 文件 系统 的 访问 控制 ( 文 
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件 目录 访问 控制 和 系统 访问 控制 )、 文 件 属性 访问 控制 、 信 息 内 容 访问 控制 。 其 中 ， 文 件 目录 
访问 控制 是 指 用 户 和 用 户 组 被 赋予 一 定 的 权限 ， 在 权限 的 规则 控制 许可 下 ， 哪 些 用 户 和 用 户 
组 可 以 访问 哪些 目录 、 子 目录 、 文 件 和 其 他 资源 ， 哪 些 用 户 可 以 对 其 中 的 哪些 文件 、 目 录 、 
子 目录 、 设 备 等 执行 何 种 操作 。 
系统 访问 控制 是 指 一 个 网 络 系统 管理 员 应 当 为 用 户 指定 适当 的 访问 权限 ， 这 些 访问 权限 
控制 着 用 户 对 服务 器 的 访问 ; 应 设置 口令 锁定 服务 器 控制 台 ， 以 防止 非法 用 户 修改 、 删 除 重 87) 
要 信息 或 破坏 数据 ; 应 设 定 服务 器 登录 时 间 限 制 、 非 法 访问 者 检测 和 关闭 的 时 间 间 隔 ; 应 对 
网 络 实施 监控 ， 记 录用 户 对 网 络 资源 的 访问 ， 对 非法 的 网 络 访问 ， 能 够 用 图 形 或 文字 或 声音 
等 形式 报警 等 

文件 属性 访问 控制 是 指 当 用 文件 、 目 录 和 网 络 设备 时 ， 应 给 文件 、 目 录 等 指定 访问 属性 。 
属性 安全 控制 可 以 将 给 定 的 属性 与 要 访问 的 文件 、 目 录 和 网 络 设备 联系 起 来 。 

3 网络 端 口 和 节点 的 访问 控制 一 


网 络 中 的 节点 和 端口 往往 加 密 传输 数据 ， 这些 重要 位 置 的 管理 必须 防止 黑客 发 动 的 攻击 。 
对 于 管理 和 修改 数据 ， 应 该 要 求 访问 者 提供 足以 证 明 身份 的 验证 器 (如 智能 卡 )。 


12.7 温 彤 实 避 一 一 入 月 S3L 演 建 安 念 区 Web 茹 友 


网 站 安装 证 书 并 启用 SSL 功能 ， 建 立 安全 的 访问 连接 ， 能 够 确保 用 户 信息 的 正确 性 ， 将 
用 户 与 网 站 之 间 的 信息 加 密 ， 防 止 重 要 信息 外 泄 ， 同 时 可 防止 数据 在 传递 过 程 中 ， 被 拦截 或 
算 改 ， 保 证 信息 完整 性 。 


@ 1. 实例 目的 


口 从 CA 服务 器 申请 证 书 。 
口 下 载 证 书 。 
口 Web 与 证 书 绑 定 。 


@ 2. 实例 步骤 站 


(1) 在 桌面 上 ， 执 行 【 开 始 】|【 和 运行】 命令， 在 【打开 】 文 本 框 中 ， 输 入 
http://127.0.0.1/certsrv/default.asp 命令 ， 并 单 击 【确定 】 按 钮 ， 如 图 12-7 所 示 。 

(2) 在 【欢迎 使 用 】 窗 口中 ， 选 择 【 申 请 证 书 】 选 项 ， 如 图 12-8 所 示 。 

(3) 在 【申请 一 个 证 书 】 窗 口中 ， 选 择 【Web 浏览 器 证 书 】 选 项 ， 如 图 12-9 所 示 。 

(4) 在 【Web 浏览 器 证 书 -识别 信息 】 窗 口 的 文本 框 中 ， 依 次 输入 相应 信息 ， 并 单 击 【 提 
交 】 按 钮 ， 如 图 12-10 所 示 。 

(5) 在 CA 服务 器 桌面 上 ， 执 行 【 开 始 】| 【程序 】| 【管理 工具】|Certification Authority 
命令 ， 并 在 certsrv-【 证 书 颁发 机 构 (本地) \My CA\ 挂 起 的 申请 】 窗 口 主 界面 中 , 展开 My CA 
节点 ， 如 图 12-11 所 示 。 
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388 A 


7 二 Windows 将 人 根 疾 您 所 给 入 的 名 称 ,为 怎 打开 但 应 的 种 序 、 
一 文件 克文 可 或 Internet 资源 


区 这 加 hapy/127.00.1/certswdefaukas| 习 
万 检 本 月 管理 权限 引 建 此 任务 。 


CJ ww | we 


图 12-7 【运行 】 对 话 框 


~ rintovs Interaet ENT F| 


申请 一 个 证 书 RD 本 
| | 
远 挥 一 个 证 书迷 型 : mi 
Web 讽 览 喉 证 书 | 
电子 邮件 保护 证 书 医家/ 地 E: ET 
或 者 ,提交 一 个 高 汲 证 池 自 请 。 En | 
是 
[I 可 入 册 页 | 便民 式 : 禁用 i) [im a 


Directery 证 书 有 


) |e war.0.0 1 Hs 


een reir | |: 


欢迎 使 用 


使 用 此 网 站 为 您 的 Web 浏 临 器 、 电 子 邮件 客户 端 或 其 他 程序 申 
请 证 书 。 通 过 使 用 证 书 ， 侈 可 以 向 通过 Web 进行 通信 的 用 户 确 
认 符 的 身份 、 签 名 并 加 宰 闻 件 ， 并 根据 您 申请 的 证 书 类 型 执行 其 
他 安全 任务 . 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁 发 机 构 (C 和 证书、 证 书 链 ， 或 证 
书 刷 第 列表 (CRL) ,或 者 吉 看 挂 起 申请 的 状态 。 


有 关 Active Directory 证 书 服务 的 详细 信息 ， 请 参阅 Active 
Directory 证 书 服务 文档 . 


选择 - 个 全 务 : 
二 村 翅 的 证 志 时 请 角 
于 总 C 证 把、 证 书 名 
TEST 


I 保 失 全 式 | 枯 用 


图 12-8 ”申请 证 书 窗口 


Po3797825@153 com 


图 12-9 【申请 一 个 证 书 】 窗 口 


图 12-10 【Web 浏览 器 证 书 -识别 信息 】 窗 口 


(6) 选择 【 挂 起 的 申请 】 选 项 ， 并 在 右 侧 窗 格 内 右 击 申请 ID 为 3 的 证 书 ， 执 行 【 所 有 任 


务 】|【 颁 发】 命令 ， 如 图 12-12 所 示 。 


文件 名 操作 查看 WW) 帮助 om 


加 [证 书 备 发 机 构 (本地) Wy CA\ 搓 起 的 申请 =lolxl 
文件 四 操作 只。 宣 看 MI 才 助 0 


外 只 | 广 a 四 


各 罗 | 方 oz| 利 


BB Er FE 
sg ED 


加 证 二 机构 体 地 


[ 


新 守 全 这 个 申请 


图 12-11 证 书 颁发 机 构 窗口 


12-12 ”颁发 证 书 
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(7) 在 桌面 上 ， 执 行 【开始 】|【 运 行 】 命 令 ， 在 【打开 】 文 本 框 中 ， 输 入 
http:/127.0.0.1/certsrv/defaultasp 命 令 并 单 击 【确定 】 按 钮 ， 如 图 12-13 所 示 。 


(8) 在 【欢迎 使 用 】 窗 口中 ， 选 择 【 下 载 CA 证 书 、 证 书 链 或 CRL】 选 项 ， 如 图 12-14 
所 示 。 


加 TCR EEC 可 eg) 
六 eineni | | 全 "加 "篇" 
习 


欢迎 使 用 


使 用 此 网 站 为 您 的 Web 浏览 器 、 电 子 邮件 客户 端 或 其 他 程序 申 
请 证 书 。 通 过 使 用 证 书 ， 您 可 以 向 通过 Web 进行 通信 的 用 户 确 
兴 称 的 身份 、 签 名 并 加 密 邮 件 ， 并 根据 您 申请 的 证 书 类 型 执行 其 
他 安全 任务 . 


CE  J 
您 也 可 以 使 用 此 网 站 下 载 证 书 括 发 机 构 (CA) 证 书 、 证 书 链 ,或 证 
Ee 书 刷 第 列表 (CRL) ,或 者 喜 看 持 起 皇 请 有 状态 
Fok hrp/ 7 00 Weer/aetautasg 避 和 Ra De 请 参阅 Active 
用 | 从 他 入 理 可 全 妇 册 任 务 ， 
选择 一 个 任务 : 
h | 
查看 挂 起 的 证 书 自 请 的 状态 
CE ww | we 下 切 Ch 证书、 证 所 傍 芭 CN d 
和 [Ra 


图 12-13 【运行 】 对 话 框 


图 12-14 ”下载 证 书 


(9) 在 【下 载 CA 证 书 、 证 书 链 或 CRL) 窗口 中 , 选择 【下 载 CA 证 书 】 选 项， 如 图 12-15 
所 示 。 


(10) 在 弹出 的 【文件 下 载 -安全 警告 】 对 话 框 中 ， 单 击 【 保 存 】 按 钮 ， 如 图 12-16 所 示 。 


GO na x 


窗帘 Bmeoon numwn | | 倍加 “二 -0 


下 载 CA 证 书 、 证 书 链 或 CRL 
若 要 信任 从 该 证 书 颁 发 机 构 颁发 的 证 书 ， 请 安装 此 CA 证 书 链 。 
要 下 载 一 个 CA 证 书 、 证 书 链 或 CRL , 选 泽 证书 和 编码 方法 。 
CA 证书: 
[文件 下 过 一 雪人 要 生 | 
您 想 打 开 或 保存 此 文件 加 ? 
编码 方法 : pm 2 
: ,ToT 
SDR 从 127.0.01 
CBase 64 
下 载 CA 证 书 打开 四 | 保存 包 
下 载 CA 证 书 链 
下 载 最 新 的 基 CRL 诸 议 Iaternet, 和 其 让 机 
FT 厂 呈 同人 | 例 P 梳 式 : 禁用 [im 
12-15 下载 CA 证 书 窗口 图 12-16 保存 证 书 


(11) 在 弹出 的 【另存 为 】 对 话 框 中 ， 单 击 【 保 存 】 按 钮 ， 如 图 12-17 所 示 。 
(12) 在 【下 载 完毕 】 窗 口中 ， 单 击 【 关 闭 】 按 钮 ， 如 图 12-18 所 示 。 
(13) 在 桌面 上 ,执行 【开始 】| 【运行 】 命 令 , 在 【打开 】 文 本 框 中 ， 输 入 inetmgr 命令 ， 


并 单 击 【确定 】 按 钮 ， 如 图 12-19 所 示 。 
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图 12-17 【另存 为 】 对 话 框 图 12-18 【下 载 完毕 】 窗 口 


(14) 在 【Internet 信息 服务 (IIS ) 管理 器 】 窗 口中 , 依次 展开 WIN-TW2PIHFW477(WIN)| 
【 网站】 节点， 并 右 击 mytext 选项 ， 执 行 【编辑 绑 定 】 命 令 ， 如 图 12-20 所 示 。 


CE > 


ZWindows 条 根 大 你 过 流入 的 名称 ,为 宅 条 得 走 的 生地. 
一 又 作 赤 、 文 或 Imiernet 资源 ， 


(oO): [inetmod] - 


网 权 使 有 管理 权限 创建 贞 任务 


Cw |_ ws. | i rr | 
EE 得 
图 12-19 【和 运行】 对话 框 图 12-20 【Internet 信息 服务 (IS) 管理 器 】 窗 口 


(15) 在 【网 站 绑 定 】 对 话 框 中 ， 单 击 【 添 加 】 按 钮 ， 如 图 12-21 所 示 。 
(16) 在 弹出 的 【添加 网 站 绑 定 】 对 话 框 中 ， 单 击 【 类 型 】 下 拉 按 钮 ， 选 择 https 选项 ， 
并 单 击 【SSL 证 书 】 下 拉 按 钮 ， 选 择 My CA 选项 ， 然 后 单 击 【 确 定 】 按 钮 ， 如 图 12-22 所 示 。 


ETETEII 了 
x)| 和 下 地 址 GD 谱 口 吕 ): 
EE I 后 一 5 

SSL 证 书 ) 

1 = 去 知 
关闭 CC ] ww | 
图 12-21 【网 站 绑 定 】 对 话 框 图 12-22 【添加 网 站 绑 定 】 对 话 杠 


(17) 在 【网 站 绑 定 】 对 话 框 中 ， 单 击 【关闭 】 按 钮 ， 如 图 12-23 所 示 。 
(18) 在 【Internet 信息 服务 (IIS) 管理 器 】 窗 口中 ， 选 择 mytext 选项 ， 并 在 右 侧 IS 区 
域 中 ， 双 击 【SSL 设置 】 图 标 ， 如 图 12-24 所 示 。 


图 12-23 【网 站 绑 定 】 对 话 框 图 12-24 【Internet 信息 服务 (1S) 管理 器 】 窗 口 


(19) 在 显示 的 【SSL 设置 】 区 域 中 ， 启 用 【要 求 SSL】 复 选 框 ， 并 选择 右 侧 的 【应 用 】 
选项 ， 如 图 12-25 所 示 。 
(20) 在 浏览 器 地 址 栏 中 ， 输 入 http://127.0.0.1， 并 按 回 车 键 ， 查 看 结果 如 图 12-26 所 示 。 


El 
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EF 


rm | | 合 
MYTEXT” 中 的 


HTTP 错误 403.4 - Forbidden 
您 举 试 访问 的 页 面 受 到 安全 套 接 宇 层 (SSL) 的 保护 。 


站 


图 12-25 SSL 设置 图 12-26 使 用 http 方式 访问 
(21) 在 浏览 器 地 址 栏 中 ， 输 入 https:/127.0.0.1， 并 按 回 车 键 ， 查 看 结果 如 图 12-27 所 示 。 


hit /7127.0.0_1/ — Yindors sten 
人 SSG 
机 大 wweroo | 


图 12-27 使 用 https 方式 访问 


数据 加 密 及 备份 


第 


随 着 电子 商务 的 应 用 越 来 越 多 ， 数 据 的 安全 问题 越 来 越 受 到 重视 。 解 决 这 一 问题 的 关键 
是 要 对 数据 本 身 实施 加 密 及 备份 ， 即 使 数据 不 幸 泄 露 或 丢失 ， 也 难以 被 人 破译 ， 且 能 够 及 时 
利用 数据 恢复 工具 (如 FinalData、EasyRecovery 等 ) 进行 恢复 。 

对 数据 库 中 数据 加 密 及 备份 ， 是 为 增强 普通 关系 数据 库 管 理 系统 的 安全 性 ， 提 供 一 个 安 
全 适用 的 数据 库 加 密 和 备份 平台 ， 对 数据 库存 储 的 内 容 实 施 有 效 保护 。 它 通过 数据 库 加 密 、 
备份 存储 等 安全 方法 实现 了 数据 库 数据 存储 保密 和 完整 性 要 求 ， 使 得 数据 库 以 密 文 方式 存储 ， 
确保 数据 安全 。 

本 章 主要 对 当前 密 钥 加 密 算法 (如 DES、RSA、Hash)、 数 据 加 密 技 术 的 应 用 、 数 据 及 数 
据 库 的 备份 等 内 容 作 详细 的 介绍 。 


密 钥 密 码 学 介绍 
数据 加 密 技术 
数据 及 数据 库 备 份 
数据 恢复 工具 
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13.1 ” 密 钥 密码 学 介绍 


密 钥 密码 学 是 一 门 古老 而 深奥 的 学 科 ， 对 一 般 人 来 说 却 是 非常 陌生 的 。 长 期 以 来 ， 只 在 
很 小 的 范围 内 使 用 ， 如 军事 、 外 交 、 情 报 等 部 门 。 计 算 机 密码 学 是 研究 计算 机 信息 加 密 、 解 
密 及 其 变换 的 技术 ， 是 数学 和 计算 机 的 交叉 学 科 ， 同 时 也 是 一 门 新 兴 的 学 科 。 随 着 计算 机 网 
络 和 计算 机 通信 技术 的 发 展 ， 计 算 机 密码 学 得 到 迅速 普及 。 在 国外 ， 已 经 成 为 计算 机 安全 主 
要 研究 方向 。 


13.1.1 背景 知识 概述 


密码 学 的 历史 比较 悠久 , 在 4000 年 前 , 古 埃及 人 就 开始 使 用 密码 来 传递 消息 。2000 年 前 ， 
罗马 国王 Julius Caesare〈 恺 撤 ) 就 开始 使 用 目前 称 为 “ 恺 撤 密码 ”的 密码 系统 。 但 是 ， 密 码 
技术 直到 20 世纪 40 年 代 以 后 才 有 重大 突破 和 发 展 。 特 别 是 20 世纪 70 年 代 后 期 ， 由 于 计算 
机 、 电 子 通信 的 广泛 使 用 ， 现 代 密 码 学 得 到 了 空前 的 发 展 。 

与 密码 学 相关 的 学 科大 致 分 为 3 个 方面 。 其 中 ， 密 码 学 〈Cryptology) 是 研究 信息 系统 安 


全 保密 的 科学 ;密码 编码 学 〈Cryptography) 主要 研究 对 信息 进行 编码 ， 实 现 对 信息 的 隐藏 ; 
密码 分 析 学 〈Cryptanalytis) 主要 研究 加 密 消 息 的 破译 或 消息 的 伪造 。 密 码 学 的 发 展 大 致 经 过 
3 个 阶段 。 

第 一 阶段 是 1949 年 之 前 ， 密 码 学 是 一 门 艺术 ， 这 个 阶段 的 研究 特点 如 下 所 述 。 

口 密码 学 不 是 科学 ， 而 是 艺术 。 

口 出 现 一 些 密码 算法 和 加 密 设 备 。 

口 密码 算法 的 基本 手段 出 现 ， 主 要 针对 字符 。 

口 简单 的 密码 分 析 手 段 出 现 ， 数 据 的 安全 基于 算法 的 保密 。 

该 阶段 具有 代表 性 事件 是 1883 年 Kerchoffs 第 一 次 明确 地 提出 了 编码 原则 ， 即 加 密 算法 
应 建立 在 算法 的 公开 而 不 影响 明文 和 密 钥 的 安全 上 。 这 个 原则 得 到 广泛 承认 ， 成 为 判定 密码 
强度 的 衡量 标准 ， 实 际 上 也 成 为 传统 密码 和 现代 密码 的 分 界线 。 

第 二 阶段 是 1949 一 1975 年 ， 密 码 学 成 为 一 门 独立 的 科学 ， 该 阶段 计算 机 的 出 现 使 基于 复 
杂 计 算 机 的 密码 成 为 可 能 。 主 要 研究 特点 是 数据 安全 基于 密 钥 而 不 是 算法 的 保密 。 

第 三 阶段 是 1976 年 以 后 ， 密 码 学 中 公 钥 学 成 为 主要 研究 方向 ， 该 阶段 具有 代表 性 的 事件 
如 下 所 述 。 

口 1976 年 ，Diffie 和 Hellman 提出 了 不 对 称 密 钥 。 
口 1977 年 ，Rivest、Shamir 和 Adleman 提出 了 RSA (Rivest Shamir Adleman ) 公 钥 算法 。 
口 1977 年 ，DES (Data Encryption Standard ) 算法 出 现 。 
口 20 世纪 80 年 代 ， 出 现 IDEA 和 CAST 等 算法 。 
口 20 世纪 90 年 代 ， 对 称 密 钥 算 法 进一步 成 熟 ， 逐 步 出 现 了 Rijindael，RC6 和 椭圆 曲线 
等 其 他 公 钥 算法 。 
口 2001 年 ，Rijindael 成 为 DES 算法 的 替代 者 。 
口 2004 年 8 月 ,山东 大 学 信息 安全 所 所 长 在 国际 会 议 上 ， 首 次 宣布 了 她 及 她 的 研究 小 组 

对 MD5、HAVAL-128、MD4 和 RIPEMD 这 4 个 著名 密码 算法 的 破译 结果 。 
这 个 阶段 的 主要 特点 是 公 钥 使 得 发 送 端 和 接收 端 无 密 钥 传输 的 保密 通信 成 为 可 能 。 


13.1.2” 密 钥 密 码 学 简介 


计算 机 网 络 的 广泛 应 用 ， 产 生 了 大 量 的 电子 数据 ， 这 些 电子 数据 需要 传输 到 网 络 的 许多 
地 方 。 有 意 的 计算 机 犯罪 和 无 意 的 数据 破坏 对 这 些 数据 产生 了 很 大 的 威胁 。 国 家 机 密 、 企 业 
经 济 信息 、 银 行 网 上 业务 等 的 任何 差错 都 会 使 国家 安全 、 企 业经 营 受到 巨大 的 损害 。 从 原则 
上 来 说 ， 对 电子 数据 的 攻击 有 两 种 形式 。 

口 被 动 攻击 ” 即 非法 从 传输 信道 上 截取 信息 ， 或 从 存储 载体 上 偷窃 信息 。 

口 主动 攻击 ” 即 对 传输 或 存储 的 数据 进行 恶意 的 删除 、 修 改 等 。 

虽然 对 这 些 行为 已 经 建立 相应 的 法 律 ， 但 由 于 这 种 犯罪 形式 的 特殊 性 ， 对 于 它 的 监督 很 
困难 。 因 此 ， 在 不 断 完善 相应 法 律 和 监督 的 同时 ， 还 需要 加 强 自我 保护 ， 密 钥 密码 技术 是 一 
种 有 效 而 经 济 的 方法 。 

密 钥 密码 学 是 关于 加 密 和 解密 的 理论 ， 主 要 用 于 保密 通信 。 目 前 ， 密 码 学 已 经 得 到 了 更 
加 深入 、 广 泛 的 发 展 ， 其 内 容 已 不 再 是 单一 的 加 解密 技术 ， 已 被 有 效 、 系 统 地 用 于 保证 电子 


数据 的 保密 性 、 完 整 性 和 真实 性 。 保 密 性 就 是 对 数据 进行 加 密 ， 使 非法 用 户 无 法 读 懂 数 据 信 
息 ， 而 合法 用 户 可 以 应 用 密 钥 读 取信 息 。 完 整 性 是 对 数据 完整 性 的 鉴别 ， 以 确定 数据 是 否 被 
非法 算 改 ， 保 证 合法 用 户 得 到 正确 、 完 整 的 信息 。 真 实 性 是 数据 来 源 的 真实 性 、 数 据 本 身 真 
实 性 的 鉴别 ， 可 以 保证 合法 用 户 不 被 欺骗 。 

现代 密 钥 密码 技术 的 应 用 ， 已 经 深入 到 数据 处 理 过 程 的 各 个 环节 ， 包 括 数据 加 密 、 密 码 
分 析 、 数 据 签 名 、 信 息 鉴别 、 秘 密 共 享 等 。 密 钥 密码 学 的 数学 工具 也 更 加 广泛 ， 有 概率 统计 、 
数论 、 代 数 等 。 


13.1.3 ”当前 密 钥 加 密 算法 


据 不 完全 统计 ， 到 现在 为 止 ， 已 经 公开 发 表 的 各 种 加 密 算法 多 达 数 百 种 。 但 针对 于 目前 
常见 的 加 密 算 法 大 体 分 成 三 类 : 对 称 加 密 算法 ， 非 对 称 加 密 算法 和 Hash 算法 。 


对 称 算法 就 是 加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 ， 反 过 来 也 成 立 。 大 多 数 对 称 算法 中 ， 
加 、 解 密 的 密 钥 是 相同 的 ， 这 些 算法 也 称 为 保密 密 钥 算法 或 单 密 钥 算法 。 它 要 求 发 送 者 和 接 
收 者 在 安全 通信 之 前 ， 商 定 一 个 密 钥 。 算 法 的 安全 性 依赖 于 密 钥 ， 只 要 通信 需要 保密 ， 密 钥 

对 称 算法 又 分 为 分 组 算法 和 序列 算法 两 类 ， 两 者 的 区 别 在 于 分 组 算法 是 对 一 个 大 的 明文 
数据 块 〈 分 组 ) 进行 运算 ， 序列 算法 是 对 明文 中 单个 位 〈 或 字 节 ) 进行 运算 。 对 称 算 法 体制 
的 发 展 趋势 ， 将 以 分 组 密码 为 重点 。 著 名 的 对 称 密码 算法 有 DES、3DES、Blowfish、IDEA、 
RC4、 RC5、RC6 和 AES。 

口 DES 数据 加 密 标准 

最 著名 的 保密 密 钥 或 对 称 密 钥 加 密 算法 DES (Data Encryption Standard)， 是 由 IBM 公司 
在 20 世纪 70 年 代 发 展 起 来 的 ， 该 标准 于 1977 年 由 美国 国家 标准 局 颁布 ， 主 要 用 于 用 户 敏感 
信息 的 保护 ， 后 被 国际 标准 化 组 织 接受 作为 国际 标准 。DES 主要 采用 蔡 换 和 移 位 的 方法 ， 使 
用 56 位 密 钥 每 次 处 理 64 位 数据 ， 运 算 速 度 快 ， 易 于 用 软件 实现 ， 也 适合 在 专用 芯片 上 实现 。 

DES 是 一 种 世界 公认 的 优秀 加 密 算法 ， 自 问世 以 来 经 历 了 许多 科学 家 的 研究 和 破译 ， 曾 
为 全 球 贸易 、 金 融 等 部 门 提供 可 靠 的 通信 安全 保障 。 但 它 也 有 明显 的 缺点 : 密 钥 太 短 ， 只 有 
56 位。 目前 已 有 许多 DES 被 破译 的 报道 , 因此 为 了 提高 安全 性 , DES 又 有 了 新 的 发 展 。 例如 ， 
三 重 DES 使 用 双 密 钥 加 密 的 方法 ， 即 使 用 两 个 56 位 的 密 钥 k1、k2， 发 送 方 用 kl 加 密 ，k2 
解密 ， 再 使 用 kl 加密。 接收 方 则 使 用 kl 解密 ，k2 加 密 ， 再 使 用 kl 解密， 其 效果 相当 于 将 密 
钥 的 长 度 增加 到 112 位 。 还 有 三 重 DES 的 变形 算法 IDEA， 使 用 3 个 独立 密 钥 ， 相 当 于 密 铀 
长 度 增 加 到 168 位 。 

口 IDEA 国际 数据 加 密 算法 

IDEA (International Data Encryption Algorithm) 由 瑞士 的 Xuejia Lai 和 James Massey 于 
1990 年 正式 公布 ， 并 在 以 后 得 到 增强 。 这 种 算法 是 在 DES 算法 的 基础 上 发 展 起 来 的 ， 类 似 于 
三 重 DES。IDEA 的 产生 ,同样 是 因为 DES 使 用 的 密 钥 太 短 。IDEA 的 密 钥 为 128 位 ， 这 么 长 
的 密 钥 在 未 来 若干 年 内 应 该 是 安全 的 。 


IDEA 算法 也 基于 分 组 ， 它 采用 软件 和 硬件 实现 都 同样 快速 ， 且 目前 软件 实现 的 IDEA 比 
DES 快 两 倍 。 由 于 IDEA 是 在 美国 之 外 提出 并 发 展 起 来 的 ， 避 开 了 美国 法 律 上 对 加 密 技 术 的 
诸多 限制 。 因 此 ， 有 关 IDEA 算法 和 实现 技术 的 资料 可 以 自由 出 版 和 交流 ， 极 大 地 促进 IDEA 
的 发 展 和 完善 。 但 由 于 该 算法 是 一 个 相对 较 新 的 算法 ， 针 对 它 的 攻击 也 还 不 多 ， 还 未 经 过 较 
长 时 间 的 考验 。 因 此 ， 尚 不 能 判断 出 它 的 问题 和 缺陷 。 

这 一 类 算法 的 优点 是 有 很 强 的 保密 强度 ， 且 经 受 住 时 间 的 检验 和 攻击 ， 但 其 密 钥 必须 通 
过 安全 的 途径 传送 。 因 此 ， 其 密 钥 管理 成 为 系统 安全 的 重要 因素 。 


公开 密 钥 算法 是 指使 用 一 对 密 钥 加 解密 信息 ， 加 密 的 密 钥 不 同 于 解密 的 密 钥 ， 而 且 解 密 
的 密 钥 不 能 根据 密 钥 在 合理 的 时 间 和 财力 内 计算 出 来 。 之 所 以 叫 公开 密 钥 算法 〈 公 钥 算 法 ) ， 
是 因为 加 密 密 钥 能 够 公开 ， 任 何人 都 可 以 使 用 加 密 密 钥 加 密 信 息 ， 但 只 有 用 相应 的 解密 密 钥 
才能 解密 信息 。 

常见 的 非 对 称 加 密 算法 有 RSA、ECC (移动 设备 用 )、Diffie-Hellman、 椭 圆 曲线 、DSA 
(数字 签名 用 ) 等。 

口 RSA 算法 

RSA 由 美国 的 Rivest、Shamir 和 Adleman 于 1978 年 提出 。 该 算法 基于 大 数 分 解 的 难度 ， 
即 已 知 较 大 合 数 n， 求 pq， 使 n=pq。 所 以 ， 随 着 大 整数 分 解 算法 和 计算 能 力 的 不 断 提 高 ， 对 
RSA 的 破译 能 力也 在 增强 。 有 报道 482 位 的 RSA 已 被 利用 数 域 NFS 分 解 出 来 ，512 位 也 可 以 
在 数 月 时 间 内 被 分 解 ，1024 位 的 RSA 目前 仍 是 比较 安全 的 。 与 DES 相 比 ，RSA 拥有 更 高 的 
安全 ， 但 执行 速度 慢 ， 因 此 两 者 经 常 结合 起 来 使 用 ，DES 加 密 速度 快 ， 适 合 加 密 较 长 的 报 文 ; 
而 RSA 可 解决 DES 密 钥 分 配 的 问题 。 

例如 ， 用 户 A 要 与 用 户 B 通信 ， 首 先 A 产生 一 个 与 B 通信 的 DES 密 钥 ， 用 B 的 公 钥 对 
通信 密 钥 加 密 后 传 给 B，B 用 其 私有 密 钥 (只 有 B 拥有 ) 解密 ， 获 得 双方 的 一 次 性 通信 DES 
密 钥 。 然 后 双方 采用 此 DES 通信 进行 保密 通信 。 

口 Diffe-Hellman 算法 

该 算法 是 第 一 个 公 钥 算法 ， 由 美国 的 Diffe 和 Hellman 于 1976 年 提出 。 其 安全 性 源 于 在 
有 限 域 上 计算 离散 对 数 比 计算 指数 更 困难 ， 该 算法 主要 用 于 密 钥 交换 。 协 议 如 下 : 首先 A 与 
B 协商 两 个 大 的 素数 n 和 g; 然后 ，A 选取 一 个 大 的 随机 数 x 并 且 发 送 给 B, X=gx modn; B 
选取 一 个 大 的 随机 数 y 并 且 发 送 给 A,Y 二 gy mod n;A 计 算 k2 二 Yx modn;B 计算 k2 一 Xy mod 
n，k1l1 和 k2 都 等 于 gxy modn， 偷 听 者 即使 知道 n，g，X 和 Y， 也 无 法 计算 出 k， 除 非 他 们 计 
算 离散 对 数 ， 因 此 是 A 与 B 的 秘密 密 钥 。 

口 椭圆 曲线 

椭圆 曲线 已 研究 了 许多 年 ，Koblitz 和 Miller 于 1985 年 分 别提 出 将 它 用 于 公 钥 密码 体制 。 
椭圆 曲线 的 引信 之 处 ， 在 于 提供 了 由 元 素 和 组 合 规 则 来 组 成 群 的 构造 方法 ， 即 利用 椭圆 曲线 
上 的 点 构成 Abelian 加 法 群 构造 离散 对 数 问题 。 基 于 有 限 域 GF (2n) 的 椭圆 曲线 算术 运算 器 
很 容易 构造 ， 并 且 n 在 130 位 至 200 位 之 间 的 实现 相当 简单 ， 它 提供 了 一 个 更 快 且 具 有 更 小 
密 钥 长 度 的 公 钥 算 法 。 

公 钥 密码 的 优点 是 可 以 适应 网 络 的 开放 性 要 求 ， 且 密 钥 管理 问题 也 较为 简单 ， 尤 其 可 方 


便 地 实现 数字 签名 和 验证 。 但 其 算法 复杂 ， 加 密 数 据 的 速率 较 低 。 尽 管 如 此 ， 随 着 现代 电子 
技术 和 密码 技术 的 发 展 ， 公 钥 密 码 算法 将 是 一 种 很 有 前 途 的 网 络 安全 加 密 体制 。 

当然 在 实际 应 用 中 ， 人 们 通常 将 对 称 密码 和 公 钥 密码 结合 在 一 起 使 用 。 例 如 ， 利 用 DES 
或 者 IDEA 来 加 密 信息 ， 而 采用 RSA 来 传递 会 话 密 钥 。 如 果 按 照 每 次 加 密 所 处 理 的 比特 来 分 
类 ， 可 以 将 加 密 算法 分 为 序列 密码 和 分 组 密码 。 前 者 每 次 只 加 密 一 个 比特 而 后 者 则 先 将 信息 
序列 分 组 ， 每 次 处 理 一 个 组 。 


Hash 算法 特别 之 处 在 于 它 是 一 种 单 向 算法 ,用 户 可 以 通过 Hash 算法 对 目标 信息 生成 一 段 
特定 长 度 的 唯一 的 Hash 值 ， 却 不 能 通过 这 个 Hash 值 重新 获得 目标 信息 。 因 此 Hash 算法 常用 
于 不 可 还 原 的 密码 存储 、 信息 完整 性 校 验 等 。 常见 的 算法 有 MD2、MD4、MD5、HAVAL、 SHA。 
加 密 算法 的 效能 通常 可 以 按照 算法 本 身 的 复杂 程度 、 密 钥 长 度 〈 密 钥 越 长 越 安全 )、 加 解密 速 
度 等 来 衡量 。 上 述 的 算法 中 ， 除 了 DES 密 钥 长 度 不 够 、MD2 速度 较 慢 已 逐渐 被 淘汰 外 ， 其 他 
算法 仍 在 目前 的 加 密 系统 产品 中 使 用 。 

例如 ，MD5 (Message-Digest Algorithm 5) 是 在 20 世纪 90 年 代 初 由 MIT (Massachusetts 
Institute of Technology， 美 国 麻 省 理工 学 院 ) 的 计算 机 科学 实验 室 和 RSA Data Security Inc 公 
司 发 明 ， 经 MD2、MD3 和 MD4 发 展 而 来 。 

Message-Digest 泛 指 字 节 串 (Message) 的 Hash 变换 ， 就 是 把 一 个 任意 长 度 的 字 节 串 变 换 
成 一 定 长 的 大 整数 。 需 要 注意 这 里 使 用 的 “ 字 节 串 ” 与 “字符 串 ” 不 属于 同一 个 概念 ， 因 为 
这 种 变换 只 与 字 节 的 值 有 关 ， 而 与 字符 集 或 编码 方式 无 关 。 

MD5 将 任意 长 度 的 “ 字 节 串 ” 变 换 成 一 个 128bit 的 大 整数 ， 并 且 它 是 一 个 不 可 逆 的 字符 
串 变换 算法 ， 换 句 话 说， 即使 看 到 源 程序 和 算法 描述 ， 也 无 法 将 一 个 MD5 的 值 变换 回 原始 的 
字符 串 ， 从 数学 原理 上 说 ， 是 因为 原始 的 字符 串 有 无 穷 多 个 ， 这 类 似 于 不 存在 反 函 数 的 数学 
函数 。 

MD5 的 典型 应 用 是 对 一 段 Message ( 字 节 串 ) 产生 fingerprint (指纹 ), 以 防止 被 “ 算 改 ”。 
例如 ， 将 一 段 话 写 在 名 为 readme.txt 文件 中 ， 并 对 这 个 readme.txt 产生 一 个 MD5 的 值 并 记录 
在 案 ， 然 后 将 这 个 文件 传送 给 其 他 人 ， 如 果 该 接收 者 修改 了 文件 中 的 任何 内 容 ， 那 么 当 再 次 
对 这 个 文件 重新 计算 MD5 时 就 会 被 发 现 。 如 果 存 在 第 三 方 的 认证 机 构 ， 同 样 也 可 用 MD5 防 
止 文件 作者 的 “抵赖 ”， 这 就 是 所 谓 的 数字 签名 应 用 。 

MD5 还 广泛 用 于 加 密 和 解密 技术 上 。 在 很 多 操作 系统 中 ， 用 户 的 密码 是 以 MD5 值 (或 
类 似 的 其 他 算法 ) 方式 保存 的 ， 当 用 户 登 录 时 ， 系 统 会 将 用 户 输入 的 密码 计算 成 MD5 值 ， 然 
后 再 去 和 系统 中 保存 的 MD5 值 进行 比较 ， 而 系统 并 不 “知道 ”用 户 的 密码 是 什么 。 

一 些 黑客 破获 这 种 密码 的 方法 是 一 种 被 称 为 “ 跑 字 典 ” 的 方法 ， 先 用 MD5 程序 计算 出 这 
些 字典 项 的 MDS 值 ， 然 后 再 用 目标 的 MD5 值 在 这 个 字典 中 检索 。 目 前 ， 有 两 种 方法 可 以 得 
到 字典 ， 一 种 是 日 常 搜 集 用 作 密码 的 字符 串 表 ， 另 一 种 是 用 排列 组 合 方法 生成 的 。 

即使 密码 的 最 大 长 度 为 8， 同 时 密码 只 能 是 字母 和 数字 ， 共 26+26+10=62 个 字符 ， 排 列 
组 合 出 的 字典 的 项 数 则 是 P(62.1)+P(62.2)+…+P(62.8), 那 也 是 一 个 巨大 的 数字 , 存储 这 个 字典 
就 需要 TB 级 的 磁盘 组 ， 而 且 这 种 方法 还 有 一 个 前 提 ， 就 是 能 获得 目标 账户 的 密码 MD5 值 。 

另外 ， 在 很 多 电子 商务 和 社区 应 用 中 ， 管 理 用 户 记 录 (Account) 是 一 种 最 常用 的 基本 功 


能 ， 尽 管 许多 应 用 服务 器 (Application Server) 提供 了 这 些 基本 组 件 ， 但 很 多 应 用 开发 者 为 了 
管理 的 更 大 的 灵活 性 还 是 喜欢 采用 关系 数据 库 来 管理 用 户 ， 懒 惰 的 做 法 是 用 户 的 密码 往往 使 
用 明文 或 简单 的 变换 后 直接 保存 在 数据 库 中 。 因 此 这 些 用 户 的 密码 对 软件 开发 者 或 系统 管理 
员 来 说 ， 毫 无 保密 可 言 。 这 里 主要 介绍 MD5 的 Java Bean〈 可 以 重复 使 用 的 软件 代码 打包 标 
准 ) 的 实现 ， 这 种 方法 使 得 管理 员 和 程序 设计 者 都 无 法 看 到 用 户 的 密码 ， 尽 管 他 们 可 以 初始 
化 这 些 密码 。 但 重要 的 一 点 是 对 于 用 户 密码 设置 习惯 的 保护 。 


13.1.4” 密 钥 的 发 布 和 管理 


密 钥 既然 要 求 保密 ， 就 必须 涉及 密 钥 的 管理 问题 ， 管 理 不 好 ， 密 钥 同 样 可 能 被 无 意识 地 
泄露 。 因 为 任何 保密 也 只 是 相对 的 ， 具 有 一 定 的 时 效 性 。 要 管理 好 密 钥 还 要 注意 以 下 几 个 
方面 。 


1， 密 钥 的 使 用 要 注意 时 效 和 次 数 一 


如 果 用 户 可 以 重复 地 使 用 同样 密 钥 与 别人 交换 信息 ， 那 么 密 钥 也 同 其 他 任何 密码 一 样 存 
在 着 一 定 的 安全 性 ， 虽 然 用 户 的 私 钥 是 不 对 外 公开 的 ， 但 也 很 难保 证 私 钥 一 直 不 被 泄露 。 如 
果 某 人 偶然 知道 了 用 户 的 密 钥 ， 那 么 用 户 曾 经 和 另 一 个 人 交换 的 每 一 条 消息 都 不 再 是 保密 的 。 
另外 ， 使 用 一 个 特定 密 钥 加 密 的 信息 越 多 ， 提 供给 窃听 者 的 材料 也 就 越 多 ， 从 某 种 意义 上 来 
讲 也 就 越 不 安全 。 

因此 ， 一 般 强 调 仅 将 一 个 对 话 密 钥 用 于 一 条 信息 中 或 一 次 对 话 中 ， 或 者 建立 一 种 按时 更 
换 密 钥 的 机 制 以 减 小 密 钥 暴露 的 可 能 性 。 


在 某 机 构 中 有 100 个 人 ， 如 果 他 们 任意 两 人 之 间 可 以 进行 秘密 对 话 ， 那 么 总 共 需 要 多 少 
密 钥 呢 ?每 个 人 需要 知道 多 少 密 钥 呢 ?也 许 很 容易 得 出 答案 ， 如 果 任 何 两 个 人 之 间 要 不 同 的 
密 钥 , 则 总 共 需 要 4950 个 密 钥 , 而 且 每 个 人 应 记 住 99 个 密 钥 。 如果 机 构 的 人 数 是 1000、10000 
人 或 更 多 ， 这 种 办 法 显然 不 合适 〈 对 密 钥 的 管理 将 是 一 件 可 怕 的 事情 )。 

Kerberos 提供 了 一 种 解决 这 个 问题 的 较 好 方案 ， 由 MIT 发 明 的 ， 使 保密 密 钥 的 管理 和 分 
发 变 得 十 分 容易 ， 但 这 种 方法 本 身 还 存在 一 定 的 缺点 。 为 能 在 因特网 上 提供 一 个 实用 的 解决 
方案 ，Kerberos 建立 了 一 个 安全 的 、 可 信任 的 密 钥 分 发 中 心 (Key Distribution Center, KDC)， 
每 个 用 户 只 要 知道 一 个 和 “KDC 进行 会 话 的 密 钥 就 可 以 了 ， 而 不 需要 知道 成 百 上 干 个 不 同 的 
密 钥 。 

假设 用 户 甲 想 要 和 用 户 乙 进行 秘密 通信 , 则 用 户 甲 先 和 KDC 通信 , 用 只 有 用 户 甲 和 KDC 
知道 的 密 钥 进行 加 密 ， 用 户 甲 告诉 KDC 希望 和 用 户 乙 进行 通信 ，KDC 会 为 用 户 甲 和 用 户 乙 
之 间 的 会 话 随机 选择 一 个 对 话 密 钥 ,并 生成 一 个 标签 ， 这 个 标签 由 KDC 和 用 户 乙 之 间 的 密 钥 
进行 加 密 ， 并 在 用 户 甲 启动 和 用 户 乙 对 话 时 ， 用 户 甲 会 把 这 个 标签 交 给 用 户 乙 。 这 个 标签 的 
作用 是 让 用 户 甲 确信 和 他 交谈 的 是 用 户 乙 ， 而 不 是 冒充 者 。 因 为 这 个 标签 是 由 只 有 用 户 乙 和 
KDC 知道 的 密 钥 进行 加 密 的 ， 所 以 即使 冒充 者 得 到 用 户 甲 发 出 的 标签 也 不 可 能 进行 解密 ， 只 
有 用 户 乙 收 到 后 才能 进行 解密 ， 从 而 确定 了 与 用 户 甲 对 话 的 人 就 是 用 户 乙 。 


当 KDC 生成 标签 和 随机 会 话 密码 ， 就 会 把 它们 用 只 有 用 户 甲 和 KDC 知道 的 密 钥 进行 加 
密 ， 然 后 把 标签 和 会 话 密 钥 传 给 用 户 甲 ， 加 密 的 结果 可 以 确保 只 有 用 户 甲 能 得 到 这 个 信息 ， 
且 只 有 用 户 甲 能 利用 这 个 会 话 密 钥 和 用 户 乙 进行 通话 。 同 理 , KDC 会 把 会 话 密码 用 只 有 KDC 
和 用 户 乙 知 道 的 密 钥 加 密 ， 并 把 会 话 密 钥 给 用 户 乙 。 

用 户 甲 会 启动 一 个 和 用 户 乙 的 会 话 ， 并 用 得 到 的 会 话 密 钥 加 密 自己 和 用 户 乙 的 会 话 ， 还 
要 把 KDC 传 给 它 的 标签 传 给 用 户 乙 以 确定 用 户 乙 的 身份 , 然后 用 户 甲 和 用 户 乙 之 间 就 可 以 用 
会 话 密 钥 进行 安全 的 会 话 了 ， 而 且 为 了 保证 安全 ， 这 个 会 话 密 钥 是 一 次 性 的 ， 这 样 黑 客 就 更 
难 进行 破解 了 。 同 时 由 于 密 钥 是 一 次 性 由 系统 自动 产生 的 ， 则 用 户 不 必 记 那么 多 密 钥 ， 方 便 
了 和 人们 的 通信 。 


13.2 ”数据 加 密 技术 


网 络 安全 是 一 个 系统 的 概念 ， 完 善 的 网 络 安全 体系 ,必须 合理 协调 法 律 、 技 术 和 管理 这 3 
个 因素 。 主 要 表现 在 保密 、 访 问 控制 、 身 份 认证 、 不 可 否认 和 完整 性 方面 。 其 中 数据 保密 是 
首要 的 ， 数 据 不 能 被 非法 用 户 访问 。 身 份 认证 是 由 于 通信 双方 不 在 一 起 ， 因 此 数据 传输 前 需 
确认 对 方 的 身份 是 真实 可 信 的 。 完 整 性 指 用 户 从 网 上 获得 的 信息 未 被 算 改 过 ， 针 对 上 述 网 络 
安全 的 各 个 方面 ， 一 些 安 全 技术 相应 产生 并 应 用 ， 其 中 使 用 最 为 广泛 的 就 是 数据 加 密 技术 。 


13.2.1 ”数据 加 密 概 述 


数据 加 密 (Data Encryption) 技术 是 指 将 一 个 信息 或 称 明文 ，plain text) 经 过 加 密 钥匙 
(Encryption key) 及 加 密 函 数 转换 ， 转 换 为 无 意义 的 密 文 (ciphertext)， 而 接收 方 则 将 此 密 文 
经 过 解密 函数 、 解 密 钥 匙 (Decryption key) 还 原 成 明文 。 它 是 网 络 安全 技术 的 基石 。 


当今 网 络 社会 选择 数据 加 密 已 是 别 无 选择 ， 一 方面 由 于 在 互联 网 上 进行 文件 传输 、 电 子 
邮件 商务 往来 存在 许多 不 安全 因素 ， 特 别 是 对 于 一 些 大 公司 和 一 些 机 密 文件 在 网 络 上 传输 。 
而 且 这 种 不 安全 性 是 互联 网 存在 基础 一 TCP/IP 协 议 所 固有 的 ,包括 一 些 基 于 TCP/IP 的 服务 。 
另 一 方面 ， 互 联网 给 众多 的 商家 带 来 了 无 限 的 商机 ， 互 联网 把 全 世界 连 在 了 一 起 ， 走 向 互联 
网 就 意味 着 走向 了 世界 ， 这 对 于 无 数 商 家 无 疑 是 件 好 事 ， 特 别 是 对 于 中 小 企业 。 为 了 解决 这 
一 矛盾 ， 能 在 安全 的 基础 上 打开 通 向 世界 之 门 ， 只 好 选择 数据 加 密 和 基于 加 密 技 术 的 数字 
签名 。 

加 密 在 网 络 上 的 作用 就 是 防止 有 用 或 科 有 化 信息 在 网 络 上 被 拦截 和 窃取 如 密码 的 传输 。 
计算 机 密码 极为 重要 ， 因 为 许多 安全 防护 体系 是 基于 密码 的 ， 密 码 的 泄露 在 某 种 意义 上 来 讲 
意味 着 其 安全 体系 的 全 面 骨 省 。 

通过 网 络 进行 登录 时 ， 所 键入 的 密码 以 明文 的 形式 被 传输 到 服务 器 ， 而 网 络 上 的 窃听 是 
一 件 极 为 容易 的 事情 , 所 以 用 户 的 密码 很 有 可 能 被 黑客 窃取 , 如 果 用 户 是 Root (Linux 管理 员 ) 
或 Administrator (Windows 管理 员 )， 这 样 该 系统 将 存在 被 暴露 的 威胁 。 


另外 ， 如 果 公 司 在 进行 某 个 招标 项 目的 投标 工作 ， 工 作 人 员 通 过 电子 邮件 的 方式 把 单位 
的 标书 发 给 招标 单位 ， 此 时 有 另 一 位 竞争 对 手 从 网 络 上 窃取 到 该 公司 的 标书 ， 从 而 知道 这 个 
公司 投标 的 标的 ， 那 么 后 果 将 非常 严重 。 

解决 上 述 难题 的 方案 就 是 加 密 ， 加 密 后 的 口令 即使 被 黑客 获得 也 是 不 可 读 的 ， 加 密 后 的 
标书 没有 收 件 人 的 私 钥 也 就 无 法 解 开 ， 标 书 成 为 一 大 堆 无 任何 实际 意义 的 乱码 。 总 之 无 论 是 
单位 还 是 个 人 在 某 种 意义 上 来 说 加 密 也 成 为 当今 网 络 社会 进行 文件 或 邮件 安全 传输 的 时 代 
象征 。 

数字 签名 就 是 基于 加 密 技术 的 ， 它 的 作用 就 是 用 来 确定 用 户 是 否 是 真实 的 。 应 用 最 多 的 
还 是 电子 邮件 ， 当 用 户 收 到 一 封 电子 邮件 时 ， 邮 件 上 面 标 有 发 信人 的 姓名 和 信箱 地 址 ， 很 多 
人 可 能 会 简单 地 认为 发 信人 就 是 信 上 说 明 的 那个 人 ,但 实际 上 伪造 一 封 电子 邮件 对 于 一 个 通 
常人 来 说 是 极为 容易 的 事 。 在 这 种 情况 下 ， 就 要 用 到 加 密 技术 基础 上 的 数字 签名 ， 用 它 来 确 
认 发 信人 身份 的 真实 性 。 

类 似 数字 签名 技术 的 还 有 一 种 身份 认证 技术 ， 有 些 站 点 提供 入 站 FTP 和 Web 服务 ， 当 然 
用 户 通常 接触 的 这 类 服务 是 匿名 服务 ， 用 户 的 权力 要 受到 限制 ， 但 也 有 的 这 类 服务 不 是 匿名 
的 ,如 某 公 司 为 了 信息 交流 提供 用 户 的 合作 伙伴 非 匿 名 的 FTP 服务 ,或 开发 小 组 把 他 们 的 Web 
网 页 上 载 到 用 户 的 Web 服务 器 上 ， 现 在 的 问题 就 是 ， 用 户 如 何 确定 正在 访问 用 户 服务 器 的 人 
就 是 用 户 认为 的 那个 人 ， 身 份 认证 技术 就 是 一 个 好 的 解决 方案 。 


文件 加 密 不 只 用 于 电子 邮件 或 网 络 上 的 文件 传输 ， 其 实 也 可 用 于 静态 的 文件 


保护 ， 如 PIP 软件 就 可 以 对 磁盘 、 硬 盘 中 的 文件 或 文件 夹 进行 加 密 ， 以 防 他 
人 窃取 其 中 的 信息 。 


数据 加 密 技术 要 求 只 有 在 指定 的 用 户 或 网 络 下 ， 才 能 解除 密码 而 获得 原来 的 数据 ， 这 就 
需要 给 数据 发 送 方 和 接受 方 一 些 特殊 的 信息 用 于 加 解密 ， 这 就 是 所 谓 的 密 钥 。 其 密 钥 的 值 是 
从 大 量 的 随机 数 中 选取 的 。 按 加 密 算法 分 为 专用 密 钥 和 公开 密 钥 两 种 。 

口 专用 密 钥 

专用 密 钥 又 称 为 对 称 密 钥 或 单 密 钥 ， 加 密 和 解密 时 使 用 同一 个 密 钥 ， 即 同一 个 算法 。 如 
DES 和 MIT 的 Kerberos 算法 。 单 密 钥 是 最 简单 方式 ， 通 信 双 方 必 须 交 换 彼此 密 铀 ， 当 需 给 对 
方 发 信息 时 ， 用 自己 的 加 密 密 钥 进行 加 密 ， 而 在 接收 方 收 到 数据 后 ， 用 对 方 所 给 的 密 钥 进行 
解密 。 当 一 个 文本 要 加 密 传 送 时 ， 该 文本 用 密 钥 加 密 构 成 密 文 ， 密 文 在 信道 上 传送 ， 收 到 密 
文 后 用 同一 个 密 钥 将 密 文 解 出 来 ， 形 成 普通 文体 供 阅 读 。 在 对 称 密 钥 中 ， 密 钥 的 管理 极为 重 
要 ， 一旦 密 钥 丢失 ， 密 文 将 无 密 可 保 。 这 种 方式 在 与 多 方 通信 时 因为 需要 保存 很 多 密 钥 而 变 
得 很 复杂 ， 而 且 密 钥 本 身 的 安全 就 是 一 个 问题 。 

对 称 密 钥 是 最 古老 的 ， 一 般 所 说 的 “ 密 电码 ”采用 的 就 是 对 称 密 钥 。 由 于 对 称 密 钥 运算 
量 小、 速度 快 、 安 全 强度 高 ， 因 而 目前 仍 被 广泛 采用 。 

口 公开 密 钥 

公开 密 钥 又 称 非 对 称 密 钥 ， 加 密 和 解密 时 使 用 不 同 的 密 钥 ， 即 不 同 的 算法 ， 虽 然 两 者 之 


间 存 在 一 定 的 关系 ， 但 不 可 能 轻易 地 从 一 个 推导 出 另 一 个 。 有 一 把 公用 的 加 密 密 钥 ， 有 多 把 
解密 密 钥 ， 如 RSA 算法 。 

非 对 称 密 钥 由 于 两 个 密 钥 (加密 密 钥 和 解密 密 钥 ) 各 不 相同 ， 因 而 可 以 将 一 个 密 钥 公开 ， 
而 将 另 一 个 密 钥 保密 ， 同 样 可 以 起 到 加 密 的 作用 。 

在 这 种 编码 过 程 中 ， 一 个 密码 用 来 加 密 消 息 ， 而 另 一 个 密码 用 来 解密 消息 。 在 两 个 密 钥 
中 有 一 种 关系 ， 通 常 是 数学 关系 。 公 钥 和 私 钥 都 是 一 组 十 分 长 的 、 数 字 上 相关 的 素数 〈 是 另 
一 个 大 数字 的 因数 )。 有 一 个 密 钥 不 足以 翻译 出 消息 ， 因 为 用 一 个 密 钥 加 密 的 消息 只 能 用 另 一 
个 密 钥 才能 解密 。 每 个 用 户 可 以 得 到 唯一 的 一 对 密 钥 ， 一 个 是 公开 的 ， 另 一 个 是 保密 的 。 公 
共 密 钥 保 存在 公共 区 域 ， 可 在 用 户 中 传递 ， 甚 至 可 印 在 报纸 上 面 。 而 私 钥 必须 存放 在 安全 保 
密 的 地 方 。 任 何人 都 可 以 有 公 钥 ， 但 是 只 有 自己 才能 有 私 钥 。 

公开 密 钥 的 加 密 机 制 虽 提供 了 和 良好 的 保密 性 ， 但 难以 鉴别 发 送 者 ， 即 任何 得 到 公开 密 钥 
的 人 都 可 以 生成 和 发 送 报 文 。 数 字 签名 机 制 提供 了 一 种 鉴别 方法 ， 以 解决 伪造 、 抵 赖 、 冒 充 
和 算 改 等 问题 。 

当然 在 实际 应 用 中 人 们 通常 将 两 者 结合 在 一 起 使 用 。 即 利用 DES 或 者 IDEA 来 加 密 信 息 ， 
而 采用 RSA 来 传递 会 话 密 钥 。 

密码 技术 是 网 络 安全 最 有 效 的 技术 之 一 。 一 个 加 密 网 络 ， 不 但 可 以 防止 非 授权 用 户 的 拱 
线 窍 听 和 入 网 ， 而 且 也 是 对 付 恶 意 软件 的 有 效 方法 之 一 。 


13.2.2 ”数据 加 密 应 用 


数据 加 密 可 以 使 人们 在 因特网 上 进行 安全 的 会 话 ， 而 不 必 担 心 会 被 人 偷 听 。 随 处 可 见 的 
虚拟 局 域 网 (VPN) 、 最 新 的 加 密 和 鉴别 〈 数 字 签名 ) 技术 都 是 很 好 的 数据 加 密 技 术 的 应 用 。 


电子 商务 (E-business) 要 求 顾客 可 以 在 网 上 进行 各 种 商务 活动 ， 不 必 担 心 自己 的 信用 卡 
会 被 人 盗用 。 在 过 去 ， 用 户 为 了 防止 信用 卡 的 号 码 被 窃取 到 ， 一 般 是 通过 电话 订货 ， 然 后 使 
用 用 户 的 信用 卡 进行 付款 。 现 在 人 们 开始 用 RSA〈 一 种 公开 /私有 密 钥 ) 的 加 密 技 术 ， 提 高 信 
用 卡 交易 的 安全 性 ， 从 而 使 电子 商务 走向 实用 成 为 可 能 。 

许多 人 都 知道 网 景 通讯 (Netscape) 公司 是 Internet 商业 中 领先 技术 的 提供 者 ， 提 供 了 一 
种 基于 RSA 和 保密 密 钥 应 用 于 因特网 的 技术 , 被 称 为 安全 插座 层 (Secure Sockets Layer,SSL )。 

另外 ， 还 有 Socket 程序 。 它 只 是 一 个 编程 界面 ， 不 提供 任何 安全 措施 ， 而 SSL (安全套 
接 字 ) 不 仅 提供 编程 界面 ， 还 向 上 提供 一 种 安全 的 服务 ，SSL3.0 现在 已 经 应 用 于 服务 器 和 浏 
览 器 ，SSL2.0 则 只 能 应 用 于 服务 器 端 。 

SSL3.0 用 一 种 电子 证 书 〈electric certificate)， 用 来 进行 身份 验证 后 ， 双 方 就 可 以 用 保密 
密 钥 进行 安全 的 会 话 了 。 它 同时 使 用 “对 称 ” 和 “ 非 对 称 ” 加 密 方 法 ， 在 客户 与 电子 商务 的 
服务 器 进行 沟通 的 过 程 中 ， 客 户 会 产生 一 个 会 话 密 钥 ， 然 后 客户 用 服务 器 端的 公 钥 将 会 话 密 
钥 进行 加 密 ， 再 传 给 服务 器 端 ， 在 双方 都 知道 会 话 密 钥 后 ， 传 输 的 数据 都 是 以 会 话 密 钥 进行 
加 密 与 解密 的 ， 但 服务 器 端 发 给 用 户 的 公 钥 必须 先 向 有 关 发 证 机 关 申 请 ， 以 得 到 公证 。 

基于 SSL3.0 提供 的 安全 保障 ， 用 户 就 可 以 自由 订购 商品 并 给 出 信用 卡号 ， 也 可 以 在 网 上 


和 合作 伙伴 交流 商业 信息 并 且 让 供应 商 把 订单 和 收 货 单 从 网 上 发 过 来 ， 这 样 可 以 节省 大 量 的 
纸张 ， 为 公司 节省 大 量 的 电话 、 传 真 费用 。 通 常 ， 电 子 信 息 交 换 (Electric Data Interchange， 
EDI)、 信 息 交 易 (Information Transaction) 和 金融 交易 (Financial Transaction) 都 是 在 专用 网 
络 上 完成 的 ， 使 用 专用 网 的 费用 大 大 高 于 互联 网 。 正 是 这 样 巨大 的 诱惑 ， 才 使 人 们 开始 发 展 
因特网 上 的 电子 商务 ， 但 不 要 忘记 数据 加 密 。 


虚拟 专用 网 是 一 种 基于 公共 数据 网 , 给 用 户 一 种 直接 连接 到 私人 局 域 网 感觉 的 服务 。 VPN 
极 大 地 降低 了 用 户 的 费用 ， 而 且 提 供 了 比 传统 方法 更 强 的 安全 性 和 可 靠 性 。 

VPN 可 分 为 三 大 类 。 
口 企业 各 部 门 与 远程 分 支 之 间 的 Intranet VPN。 
口 企业 网 与 远程 (移动 ) 雇员 之 间 的 远程 访问 ( Remote Access ) VPN。 
口 企业 与 合作 伙伴 、 客 户 、 供 应 商 之 间 的 Extranet VPN.。 

现在 ， 越 来 越 多 的 公司 走向 国际 化 ， 一 个 公司 可 能 在 多 个 国家 都 有 办 事 机 构 或 销售 中 心 ， 
每 一 个 机 构 都 有 自己 的 局 域 网 LAN (Local Area Network)， 但 在 当今 的 网 络 社会 人 们 的 要 求 
不 仅 如 此 ， 用 户 希 望 将 这 些 LAN 连结 在 一 起 组 成 一 个 公司 的 广域网 ， 现 在 这 将 不 再 是 难题 。 

事实 上 ， 很 多 公司 都 已 经 这 样 做 了 ， 但 他 们 一 般 使 用 租用 专用 线路 来 连接 这 些 局 域 网 ， 
他 们 考虑 的 就 是 网 络 的 安全 问题 。 现 在 具有 加 密 / 解 密 功能 的 路 由 器 已 到 处 都 是 ， 这 就 使 人 们 
通过 互联 网 连接 这 些 局 域 网 成 为 可 能 ， 这 就 是 通常 所 说 的 虚拟 专用 网 。 当 数据 离开 发 送 者 所 
在 的 局 域 网 时 ， 该 数据 首先 被 用 户 端 连接 到 互联 网 上 的 路 由 器 进行 硬件 加 密 ， 数 据 在 互联 网 
上 是 以 加 密 的 形式 传送 的 ， 当 达到 目的 LAN 的 路 由 器 时 ， 该 路 由 器 就 会 对 数据 进行 解密 ， 这 
样 目 的 LAN 中 的 用 户 就 可 以 看 到 真正 的 信息 了 。 


13.2.3 ”EFS 概述 


EFS (Encrypting File System， 加 密 文件 系统 ) 是 一 个 由 Windows 2000 系列 、Windows XP 
专业 版 以 及 Windows.NET 提供 的 透明 的 文件 加 密 服 务 ， 以 公共 密 钥 加 密 为 基础 ， 使 用 了 
Windows 中 的 CryptoAPI 架构 。 它 可 以 使 文件 具有 机 密 性 〈 但 不 提供 完整 保护 ); 提供 可 选 的 
数据 恢复 能 力 ， 系 统管 理 员 可 以 恢复 另 一 用 户 加 密 的 数据 ; 还 可 以 实现 多 用 户 ( 被 许可 的 用 
户 ) 共享 存 取 一 个 已 经 加 密 的 数据 。 


EFS 采用 基于 公 钥 的 方案 实现 数据 加 密 或 解密 ， 它 使 用 标准 X.509 证 书 。 每 一 个 受 保护 
的 文件 , 都 将 被 一 个 使 用 带 有 一 定 长 度 的 文件 加 密 密 钥 (FEK) 的 快速 对 称 加 密 算法 加 密 (FEK 
的 长 度 由 算法 或 法 则 决定 )。 一 个 用 户 要 访问 一 个 已 加 密 的 文件 ， 他 必须 拥有 与 公 钥 相 适应 的 
私 钥 。 

口 加 密 和 解密 

EFS 中 ,文件 转换 是 加 密 和 解密 文件 的 过 程 ， 它 需要 一 个 特殊 的 接口 。 即 使 在 严重 的 失 
败 产生 时 ， 数 据 在 转换 过 程 中 仍然 是 不 会 丢失 的 ， 所 以 ，EFS 会 备份 没 经 过 加 密 的 原 数 据 直 


到 全 部 转换 过 程 都 已 经 完成 。 当 EFS 接 到 转换 文件 的 请 求 时 ， 它 首先 进行 一 系列 的 检查 ， 这 
些 检查 包括 文件 是 否 可 以 加 密 以 及 是 否 有 足够 的 磁盘 空间 进行 加 密 。 系 统 文件 或 在 系统 目录 
中 的 文件 是 不 能 被 EFS 加 密 的 。 如 果 经 过 检查 说 明文 件 可 以 被 加 密 ，EFS 便 产 生 一 个 文件 加 
密 密 钥 (FEK)。 对 于 FEK 加 密 与 解密 ， 在 微软 公司 发 布 的 《Windows 2000 的 加 密 文件 系统 
白皮书 》 中 对 EFS 加 密 原理 作 了 以 下 描述 。 

FEK 加 密使 用 一 个 或 多 个 密 钥 加 密 公 钥 ， 生 成 一 个 加 密 的 FEK 列表 。 用 户 密 钥 对 的 公共 
部 分 用 来 加 密 FEK， 然 后 将 加 密 的 FEK 列表 与 加 密 文 件 一 起 存储 在 一 个 特殊 的 EFS 属性 中 ， 
该 属性 称 为 数据 加 密 字段 (DDF )， 把 文件 加 密 信息 与 文件 紧密 地 捆绑 在 一 起 。 用 户 密 钥 对 的 
私有 部 分 在 解密 过 程 中 使 用 。FEK 将 通过 使 用 密 钥 对 的 私有 部 分 〈 安 全 地 存放 在 别 的 地 方 ， 
如 智能 卡 或 其 他 安全 存储 设备 上 ) 进行 解密 的 。 

FEK 也 使 用 一 个 或 多 个 恢复 密 钥 加 密 公 钥 进 行 加 密 。 再 者 ， 每 个 密 钥 对 的 公共 部 分 用 来 
加 密 FEK。 此 加 密 的 FEK 列表 与 文件 一 起 存储 在 一 个 特殊 的 EFS 属性 中 , 该 属性 称 为 数据 恢 
复 字 段 (DRF)。 加 密 DRF 中 的 FEK， 只 需要 恢复 密 钥 对 的 公共 部 分 。 在 正常 文件 系统 操作 
中 ， 要 求 这 些 公共 恢复 密 钥 始 终 在 EFS 系统 上 。 恢 复 本 身 一 般 很 少 用 到 ， 只 是 当 用 户 离开 公 
司 或 者 丢失 密 钥 时 才 使 用 。 正 因为 如 此 ， 恢 复 代理 可 以 将 密 钥 的 私有 部 分 安全 地 存放 到 别 的 
地 方 〈 智 能 卡 或 其 他 安全 的 存储 设备 上 )。 

然后 ，EFS 将 在 相应 的 文件 夹 建 立 一 个 临时 文件 。 每 一 个 源 文件 数据 流 都 以 备份 用 途 被 
复制 到 这 个 临时 文件 中 ， 源 文件 被 缩短 并 且 EFS 读 取 这 个 临时 文件 中 的 数据 并 将 它们 写 入 原 
始 文件 ， 由 于 EFS 加 密 是 透明 的 ， 因 而 在 实际 写 入 磁盘 前 ，EFS 便 已 将 数据 加 密 。 当 所 有 数 
据 被 写 入 原始 文件 以 及 EFS 证 明了 文件 已 加 密 后 ，EFS 才 会 删除 这 个 临时 文件 。 如 果 转 换 失 
败 或 转换 过 程 中 发 生 错误 ，EFS 会 在 删除 临时 文件 前 将 试图 加 密 的 文件 恢复 到 原始 状态 。 

口 打开 与 读 写 原理 

EFS 拥有 打开 、 读 、 写 以 及 转换 文件 4 个 主要 操作 。 由 于 EFS 被 设计 成 透明 的 ， 对 于 打 
开 、 读 取 、 写 入 已 加 密 文件 便 与 操作 普通 文件 没有 任何 区 别 , 应 用 程序 仍然 使 用 普通 的 Win32 
APIs。 应 用 程序 使 用 CreateFile0 或 者 OpenFile0 代 码 来 打开 已 加 密 的 文件 ， 用 ReadFile()、 
ReadFileEx() 以 及 ReadFileScatter0 来 读 取 已 加 密 的 文件 ， 用 WriteFile0 、WriteFileEx(O)、 
WriteFileScatter() 来 写 入 已 加 密 的 文件 。 

口 数据 恢复 

EFS 具有 数据 恢复 能 力 ， 当 用 户 的 密 钥 损坏 或 丢失 时 EFS 数据 恢复 便 可 以 恢复 已 经 加 密 
的 文件 。 系 统管 理 员 可 以 在 恢复 代理 策略 、 空 恢复 策略 以 及 无 恢复 策略 中 选择 一 种 恢复 策略 。 
在 域 中 ， 当 设置 首 域 控制 器 时 ，Windows 执行 该 域 默 认 故 障 恢复 策略 。 恢 复 代 理 策 略 是 指 系 
统管 理 员 添加 了 一 个 或 多 个 恢复 代理 。 这 些 代理 在 管理 范围 中 恢复 任何 已 加 密 数据 都 是 可 受 
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图 13-1 新 建文 本 文档 


四 只 有 在 NTES 分 区 才能 进行 EFS 加 密 。 


[部 调演 丘 于 说 人 大 的 刘 


纪 更 对 ， 天 二 会 询问 你 是 否 酝 这 此 而 收 辐 时 应 用 于 
人 2010 竺 3 月 20 日 天，18:47:41 
存档 和 编制 索引 属性 
口 可 以 存档 文件 夹 回 R 座 龟 
回 为 了 志 汪 机 过 ,多 许 索引 也 各 蝙 制 六 立 件 玖 过 引 dI) 加 


En 


纺 内 容 以 便 节 省 磁盘 宝 问 ) 
i 
MN i ME 


图 13-3 启用 EFS 加 密 图 13-4 应 用 EFS 加 密 


(5) 在 弹出 的 对 话 框 中 ， 选 中 【将 更 改 应 用 于 该 文件 夹 、 子 文件 和 文件 】 单 选 按 钮 ， 单 
击 【 确 定 】 按 钮 ， 如 图 13-5 所 示 。 


(6) 在 【本 地 磁盘 〈C: )】 根 目录 中 ， 可 以 查看 到 已 加 密 的 文件 夹 〈 文 件 名 呈 绿 色 )， 如 
图 13-6 所 示 。 


(7) 执行 【开始 】|【 注 销 administrator】 命 令 ， 并 在 弹出 的 对 话 框 中 单 击 【注销 】 按 钮 ， 
如 图 13-7 所 示 。 


(8) 在 Windows 登录 界面 中 ,输入 用 户 名 和 密码 ， 并 单 击 【确定 】 按 钮 ， 如 图 13-8 所 示 。 
(9) 在 【本 地 磁盘 〈C: )】 根 目录 中 ， 双 击 shenglin 文件 夹 并 双击 【新 建 文本 文档 】 文 
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件 ， 在 弹出 的 对 话 框 中 ， 单 击 【 关 闭 】 按 钮 ， 如 图 13-9 所 示 。 


你 已 经 法 控 对 属性 进行 以 下 下 玖 


文件 编辑 下 查看 WD 收 语 ) 工具 CD) 寻 助 0D 


@Aaa-.© 


肥 应 用 于 识 文 件 洋 ， 还 是 届时 兢 用 于 所 有 子 文 件 天 和 文件 ? 


) 避 格 更 改 应 用 二 语文 件 严 ED 


图 13-7 注销 当前 用 户 图 13-8 使 用 shenglin 登录 图 13-9 拒绝 访问 


© 使 用 shenglin 这 个 用 户 登 录 后 ， 拒 绝 访问 被 加 密 的 文档 ， 验 证 EFS a 
全 性 . 


13.3.2 护 往 完 何 交 间 FPS 加 寄语 的 共享 


EFS 加 密 过 的 文件 ， 只 能 由 加 密 者 或 安装 了 加 密 证 书 的 用 户 查 看 ， 这 样 造成 网 络 共享 不 
便 的 问题 ， 而 EFS 加 密 后 的 共享 ， 就 解决 了 这 个 问题 。 


@ 1. 实例 目的 ) 


口 共享 EFS 加 密 后 的 文件 。 
口 查看 EFS 加 密 后 的 文件 。 


@ 2. 实例 步骤 ) 

(1) 在 桌面 双击 【我 的 电脑 】 图 标 ， 在 弹出 的 窗口 中 双击 【本 地 磁盘 〈C: )】 图 标 ， 双 击 
shenglin 文件 夹 ， 右 击 执行 【属性 】 命 令 ， 单 击 【 高 级 】 按 钮 ， 如 图 13-10 所 示 。 

(2) 在 【高 级 属性 】 对 话 框 中 ， 单 击 【 详 细 信 息 】 按 钮 ， 如 图 13-11 所 示 。 

(3) 在 弹出 的 对 话 框 中 ， 单 击 【添加 】 按 钮 ， 如 图 13-12 所 示 。 

(4) 在 【选择 用 户 】 对 话 框 中 ， 选 择 shenglin 选项 ， 单 击 【确定 】 按 钮 ， 如 图 13-13 
所 示 。 

(5) 在 弹出 的 对 话 框 中 ， 依 次 单 击 【 添 加 】 和 【确定 】 按 钮 ， 如 图 13-14 所 示 。 


上 亲 建 文 二 文档 局 性 回 


并 [| 
文件 类 型 : 文本 文档 
3 属 记事 本 C 要 5 
位 置 Cshenglin 


大 小 。 下 于 节 所 子 人 
占用 窑 昌 :4.00 芭 人 096 字 节 ) 


创 百 时 间 : 。 2010 年 3 月 9 日 .9:25:07 


人 时 间 ，。 2010 年 3 月 19 日 ，11 54 :28 
访问 时 间 : 。 2010 年 3 月 9 日 ，11 54:28 


属性 Da OMe Ev] 


Cw Er 


图 13-10 属性 对 话 框 


图 13-12 单 击 【 添 加 】 按 钮 


Ci \ehonslin\ 名 建 文 二 文 咎 - tt 的 加 室 评 细 信 息 


用 户 各 ”和 3 四 
hinini siretor Wininistrat a lil) 9 8 过 下 
Shenglin (shenglinBXP]) FSCS 55T7 6. 


13-14 ”添加 用 户 证 书 


EE 
[te 
“ 行 术 和 睛 抽 过 引 属性 
回 可 以 本格 文件 他) 
回 六 了 员 理 陀 ， 世 至 表 引 县 多 搞 和 这 广 件 的 表 引 
8 世 1a 芭 尿 生 
口 克 因 届 全 生生 宇 
加 加 和 办 守 以 便 扩 所 


Ci CR 


图 13-11 高 级 属性 


选择 用 户 


[IF ] sl 


图 13-13 ”选择 用 户 证 书 


(6) 执行 【开始 】| 【注销 administrator】 命 令 ， 在 弹出 的 对 话 框 中 单 击 【 注 销 】 按 钮 ， 如 
图 13-15 所 示 。 


福 畏 Windows 


13-15 ”注销 当前 用 户 
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(7) 在 Windows XP 登录 界面 中 ， 输 入 用 户 名 和 密码 ， 并 单 击 【 确 定 】 按 钮 ， 如 图 13-16 
所 示 。 
(8) 在 【本 地 磁盘 (C: )】 根 目录 中 ,双击 shenglin 文件 夹 ， 并 在 打开 的 窗口 中 , 双击 【新 
建 文本 文档 】 文 件 ， 如 图 13-17 所 示 。 


文件 和 文件 夫人 务 。 失 


友 二 名 党 个 文件 
全 将 衬 个 文件 县 布 到 
9 类 和 yx 加 
型” 文本 文档 修改 日 期、2010-3-20 16.02 ;6 守信 ”加 我 的 电 
图 13-16 使 用 shenglin 登录 图 13-17 打开 文档 
(9) 在 【新 建 文本 文档 一 记事 本 】 窗 口中 可 查看 到 该 文件 内 容 ， 图 13-18 所 示 。 


旨 新 建 文本 文 和 -记事 本 司 辣 总 


文件 四 编 泗 于)】 站 元 如 本 看) 可 助 四 
h23ns6 


图 13-18 可 以 访问 文档 


使 用 shenglin 这 个 用 户 ， 可 以 访问 被 加 密 的 文档 共享 文档 ， 验 证 EFS 加 密 共 
享 的 实用 性 。 


13.3.3 扣 和 有 完 可 一 一 寄居 区 各 分 和 灾 捍 
密 钥 的 备份 和 恢复 ， 有 效 地 防止 了 密 钥 的 损坏 ， 解 决 了 因 重 装 系统 或 密 钥 丢失 而 导致 的 
加 密 数据 不 能 被 解密 的 问题 。 


Q 1. 实例 目的 门 


口 备份 密 钥 。 
口 恢复 密 铀 。 


@ 实例 步骤 站 

(1) 在 桌面 执行 【开始 】|【 运 行 】 命 令 ， 在 【运行 】 对 话 框 中 输入 certmgrmsc 命令 ,并 
单 击 【确定 】 按 钮 ， 如 图 13-19 所 示 。 

(2) 在 【证 书 】 窗 口中 ， 依 次 展开 【证 书 - 当 前 用 户 】 和 【个 人 】 节 点 ， 并 选择 【证 书 】 
选项 ， 如 图 13-20 所 示 。 


第 五 篇 ”加 密 技术 及 备份 技术 


文才 四 “操作 内， 喜 看 外 ”和 助 吕 
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下 -外 xeuve Dir 
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加 不 信任 的 证 书 
一 下 生 第 三 方 根 证 书后 发 机 构 
408, 号 名 委 信任 人 
号 生 五 仙人 
Ce 


图 13-19 运行 命令 图 13-20 【证 书 】 窗 口 


(3) 右 击 administrator 证 书 ， 执 行 【 所 有 任务 】|【 导 出】 命令 ， 如 图 13-21 所 示 。 
(4) 在 弹出 的 欢迎 向 导 中 ， 单 击 【下 一 步 】 按 钮 。 在 【导出 私 钥 】 对 话 框 中 ， 选 中 【是 ， 
导出 私 钥 】 单 选 按钮 ， 并 单 击 【下 一 步 】 按 钮 ， 如 图 13-22 所 示 。 


号 出 私 钥 
悠 可 以 过 择 格 私 畏 跟 证 书 一 起 导出 。 


文件 宦 ) 操作 Q) 查看 w) 帮助 中 
二 外 闪 由 | 义 加 昌国 四 现 保 护 。 如 果 要 村 私利 跟 证 书 一 起 导出 ， 您 必须 在 后 而 一 页 上 键入 密 
印 证 书 - 当前 用 户 
国 个 人 到 一 起 导出 吗 ? 
Fa | gs 
出 加 | 受信 任 的 根 证 书 需 发 机 构 3 iL 
htt 不, SO 
beady 
复制 多 ] 
删 除 
慰 性 包 
帮助 0 


[| 
图 13-21 执行 导出 命令 图 13-22 导出 私 钥 
(5) 在 弹出 的 对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 13-23 所 示 。 


(6) 在 【密码 】 对 话 框 中 的 【密码 】 和 【确认 密码 】 文 本 框 内 输入 相关 内 容 ， 并 单 击 【 下 
一 步 】 按 钮 ， 如 图 13-24 所 示 。 


证 韦 导 风向 导 


导出 立 件 格式 
可 以 用 不 同 的 文件 格式 导出 正 书 。 


渤 择 要 使 用 的 格式 : 


OWARATN = Hes He CE 
口 如 果 可 能 ， 将 所 有 有 证书 包括 到 证 书 政 径 中 上 U) 
回 启 用 加 强 保护 蕙 求 二 5.0 于 4 0 sp4 或 更 高 版 本 ) GE) 


口 加 果 学 岂 成 功 ， 贡院 才 铀 9 加 四 
[Eu 了 


图 13-23 默认 文件 格式 图 13-24 确认 密码 


(7) 在 弹出 对 话 框 的 【文件 名 】 文 本 框 内 输入 “c: \Documents and Settings\Administrator\ 
桌面 \shenglin.pfx” 文 件 路 径 (导出 密 钥 的 扩展 名 是 PFX), 并 单 击 【 下 一 步 】 按钮 ,如 图 13-25 
所 示 。 
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(8) 在 【正在 完成 证 书 导 出 向 导 】 对 话 框 中 ， 单 击 【完成 】 按 钮 ， 如 图 13-26 所 示 。 


证 书 导出 向 导 辆 


正在 完成 证 书 导 出 向 导 


要 导出 的 立 件 
指定 要 时 出 的 文件 各 


文件 名 加 ) 


:Dorments end sortingr dnint vtrsten 


a 


图 13-25 ”导出 密 钥 的 路 径 图 13-26 ”完成 导出 
(9) 在 弹出 的 对 话 框 中 ， 单 击 【 确 定 】 按 钮 ， 完 成 备份 。 


(3 恢复 证 书 国 

(1) 双击 已 备份 的 证 书 ， 在 弹出 的 欢迎 向 导 中 ， 单 击 【 下 一 步 】 按 钮 。 在 【要 导入 的 文 
件 】 对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 13-27 所 示 。 

(2) 在 【密码 】 对 话 框 的 【密码 】 文 本 框 内 输入 相关 内 容 ， 并 单 击 【 下 一 步 】 按 钮 ， 如 
13-28 所 示 。 


您 已 成 功夫 完 或 正 节 导 出 向 导 , 


您 已 指 定 T 列 设置 


2 Voements aasel 
年 出 本 钢 是 

包 舌 让 书 政 径 中 所 有 证 书香 

文件 格式 个 人 信息 交换 (x px) 


[= 7 ET 


证 书号 入 向 号 
村 村 码 
为 了 保 许 安全 ,已 用 宰 码 保护 有 胃 ， 


为 脱 胃 键入 
Ei 


DM er 


口 本 全角 如 这 指 让 省 节 从 梢 襄 千 从 各 人 畏 角 克 ):] 


导入 的 立 件 
折 定 要 导入 的 立 件 。 


袜 件 名 正 ) 


这 总 ， 用 下 列 格式 可 以 在 一 个 文件 中 存储 一 个 以 上 证 本 
个 人 导 息 交换- PICS 2 LPF 312) 
加 宫 放 息 语法 标 八 -FEs 如 证 节 ( PTB) 
Werosoft 系列 四书 站 人 区 (357) 


= mm |] 


图 13-27 导入 证 书 名 称 及 信息 图 13-28 输入 私 钥 密 码 
(3) 在 弹出 的 对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 13-29 所 示 。 


[27] 


证 书 在 禾 
证 上 让 弦 世 是 代行 正 世 的 系 纺 区域 


ia 可 以 目 动 只 掺 节 存 侍 碟 。 取 者 经 可 以 方 证 书 基 二 一 个 位 轩 - 


四 ef 


图 13-29 ”自动 选择 存储 位 置 


(4) 在 【证 书 导入 向 导 】 对 话 框 中 ， 单 击 【 完 成 】 按 钮 ， 弹 出 “导入 成 功 ”提示 。 


13.4 数据 及 数据 库 备份 


计算 机 里 重要 的 数据 、 档 案 或 历史 记录 ， 不 论 是 对 企业 用 户 还 是 对 个 人 用 户 ， 都 是 至 关 
重要 的 ， 一 旦 不 慎 丢 失 ， 都 会 造成 不 可 估量 的 损失 ， 影 响 企 业 的 正常 运作 ， 给 科研 、 生 产 造 
成 巨大 的 损失 。 因 此 ， 为 了 保障 生产 、 销 售 、 开 发 的 正常 运行 ， 用 户 应 当 采 取 先 进 、 有 效 的 
措施 ， 对 数据 进行 备份 ， 防 止 意外 的 发 生 。 


13.4.1 数据 备份 概述 


数据 备份 是 指 为 防止 系统 出 现 操作 失误 或 系统 故障 导致 数据 丢失 ， 而 将 全 部 或 部 分 数据 
集合 从 应 用 计算 机 的 硬盘 复制 到 其 他 存储 介质 的 过 程 。 传 统 的 数据 备份 主要 是 采用 内 置 或 外 
置 的 磁带 机 进行 冷 备份 。 

但 是 这 种 方式 只 能 防止 操作 失误 等 人 为 故障 ， 而 且 其 恢复 时 间 也 很 长 。 随 着 技术 的 不 断 
发 展 ， 数 据 的 增加 ， 有 不 少 的 企业 开始 采用 网 络 备份 。 网 络 备份 一 般 通过 专业 的 数据 存储 管 
理 软件 结合 相应 的 硬件 和 存储 设备 来 实现 。 


通常 ， 用 户 在 对 数据 进行 备份 时 ， 采 用 的 方式 有 使 用 自 带 的 数据 备份 程序 、Ghost 数据 备 
份 及 异地 数据 备份 等 。 
口 Windows 系统 自 带 数据 备份 程序 
WinZip (ZIP)，WinRAR (RAR) 压缩 的 备份 或 其 他 所 有 的 数据 备份 软件 ， 应 该 都 会 有 选 
择 所 有 的 文件 (不 管 文件 是 否 有 意 动 过 都 重新 备份 一 次 ) 和 新 增 与 变更 的 文件 (只 有 新 增 或 
修改 过 的 文件 才 会 重新 备份 数据 ) 两 种 选择 。 
口 Ghost 数据 备份 
相信 很 多 人 都 曾 遇 过 计算 机 系统 崩溃 需要 重新 安装 操作 系统 的 事 ， 其 实 若 能 在 计算 机 刚 
安装 好 操作 系统 及 应 用 程序 后 ， 且 尚未 建立 数据 文件 前 ， 先 用 Ghost 软件 将 整个 硬盘 ghost 成 
一 个 镜像 文件 ， 再 刻录 至 CD， 日 后 在 计算 机 需要 重新 安装 时 ， 只 需 用 镜像 文件 即 可 还 原 当 初 
硬盘 的 内 容 ， 可 避免 重新 安装 Windows 和 配置 操作 ， 既 方便 又 省 时 。 
口 异地 数据 备份 
将 数据 透 过 Intemet 网 络 或 网 络 备份 在 另 一 个 地 与 计算 机 分 离 的 存储 介质 , 如 软盘 、Zip 
磁盘 、 光 盘 以 及 存储 卡 等 介质 )， 好 处 是 可 避免 因 天 灾 导 致 同一 个 地 区 的 计算 机 同时 遭 商 。 目 
前 ， 网 络 上 也 有 提供 10MB 的 免费 空间 给 使 用 者 放置 个 人 数据 ， 适 用 于 数据 量 小 的 使 用 者 。 
用 网 络 备份 要 考虑 到 网 速 及 安全 性 ， 不 管 采用 何 种 备份 方式 ， 最 好 是 将 档案 压缩 成 较 小 的 容 
量 后 再 传输 ， 这 样 既 省 时 间 又 省 空间 。 
> 活 备份 备份 到 可 擦 写 存储 介质 ， 以 便 更 新 和 修改 。 
> 固定 备份 ”备份 到 不 可 擦 写 的 存储 介质 (如 只 读 存 储 器 CD-ROM ) ， 以 防 错误 删 


除 和 别人 有 意 莫 改 。 这 还 是 备份 的 硬件 级 问题 。 

> 动态 备份 ”利用 软件 功能 定时 自动 备份 指定 文件 ， 或 文件 内 容 产生 变化 后 随时 自 
动 备份 。 

> 静态 备份 ”为 保持 文件 原貌 而 进行 人 工 备 份 。 


备份 资料 即 对 重要 数据 如 文档 、 数 据 库 、 记 录 、 进 度 等 备份 下 来 生成 一 个 备份 文件 放 在 
安全 的 存储 空间 内 ， 当 发 生 数据 被 破坏 或 丢失 时 可 将 原 备份 文 件 恢复 到 备份 时 状态 。 

口 Office 文档 (.doc .xls ppt 等 格式 的 文件 ) 。 
口 客户 数据 、 会 计数 据 等 数据 库 Database 文件 。 
口 邮件 文档 ， 如 Outlook 之 .pst、.dbx 及 通讯 录 .wab。 
口 重要 图 档 ， 如 pdf、.bmp、.tiff、.dwg 和 :jpg. 
口 Linux 系统 本 机 上 数据 的 手工 备份 。 

例如 ，Linux 系统 上 配 有 功能 强大 的 tar 命令 ， 可 以 灵活 地 备份 数据 。tar 最 初 是 为 了 制作 
磁带 备份 而 设计 的 ， 把 文件 和 目录 备份 到 磁带 中 ， 然 后 从 磁带 中 提取 或 恢复 文件 。 当 然 ， 现 
在 可 以 使 用 tar 来 备份 数据 到 任何 存储 介质 上 。tar 非常 易于 使 用 , 稳定 可 靠 , 而 且 在 任何 Linux 
系统 上 都 有 这 个 命令 。 因 此 是 最 经 常 使 用 的 备份 工具 。 使 用 tar 命令 备份 数据 的 语法 格式 如 下 
所 示 。 


Star cvf packuptar /honehtm 
上 述 命令 是 将 /home/html 目录 下 的 所 有 文件 打包 成 tar 文件 backup.tar。cvf 是 tar 的 命令 


参数 。 
口 代表 创建 一 个 档案 文件 。 

口 v 代表 显示 每 个 备份 的 文件 名 字 。 

口 表示 tar 创建 的 档案 文件 名 是 后 面 的 backup-tar。 
口 /home/html 代表 tar 要 备份 的 文件 或 和 目录 名 。 
使 用 tar 命令 恢复 数据 的 语法 格式 如 下 所 示 。 


上 述 命令 将 备份 文件 backup.tar 恢复 到 当前 目录 下 。 通 常 ，tar 对 文件 进行 备份 的 时 候 并 
不 对 文件 进行 压缩 ， 因 此 备份 文件 的 尺寸 非常 大 。 

另外 ， 使 用 $ tar zcvf backup tar /home/html 命令 ， 能 够 使 tar 在 备份 结束 以 后 ， 自 动 使 用 
gzip 命令 对 备份 文件 进行 压缩 , 得 到 一 个 相应 的 gz 文件 。 这样, 可 以 得 到 两 个 文件 , backup.tar 
和 backup.tar.gz。backup.tar.gz 是 压缩 的 备份 文件 。 


。 3， 数据 备份 日常 纹 护 


备份 系统 安装 调试 成 功 结束 后 ， 日 常 维护 包含 两 方面 工作 ， 即 硬件 维护 和 软件 维护 。 如 
果 硬 件 设备 具有 很 好 的 可 靠 性 ， 系 统 正常 运行 后 基本 不 需要 经 常 维护 。 
一 般 来 说 ， 磁 带 库 的 易 损 部 件 是 磁带 驱动 器 ， 当 出 现 备份 读 写 错误 时 应 首先 检查 驱动 器 


的 工作 状态 。 如 果 发 生意 外 断 电 等 情况 ， 系 统 重新 启动 运行 后 ， 应 检查 设备 与 软件 的 连接 是 
否 正 常 。 磁 头 自动 清洗 操作 一 般 可 以 由 备份 软件 自动 管理 ， 一 盘 DLT (Digital Linear Tape， 
数字 线性 磁带 ) 清洗 带 可 以 使 用 20 次 ， 一 般 一 个 月 清洗 一 次 磁头 。 软 件 系统 工作 过 程 检测 到 
的 软 硬 件 错误 和 警告 信息 都 有 明显 提示 和 日 志 ， 可 以 通过 电子 邮件 发 送 给 管理 员 。 管 理 员 也 
可 以 利用 远程 管理 的 功能 ， 全 面 监控 备份 系统 的 运行 情况 。 

网 络 数据 备份 系统 的 建成 ， 对 保障 系统 的 安全 运行 ， 保 障 各 种 系统 故障 的 及 时 排除 和 数 
据 库 系统 的 及 时 恢复 起 到 关键 作用 。 通 过 自动 化 磁带 库 及 集中 的 运行 管理 ， 保 证 数据 备份 的 
质量 ， 加 强 数据 备份 的 安全 管理 。 同 时 ， 近 线 磁 带 库 技术 的 引进 ， 无 疑 对 数据 的 恢复 和 利用 
提供 了 更 加 方便 的 手段 。 


13.4.2 ”数据 库 备 份 及 恢复 


保障 网 络 系统 的 顺利 运行 ， 是 每 个 用 户 最 为 关心 的 问题 。 而 网 络 备份 的 最 终 目 的 ， 就 是 
要 解决 这 个 问题 。 所 以 ， 一 份 优秀 的 网 络 备份 方案 就 要 能 够 备份 系统 所 有 的 数据 ， 在 网 络 出 
现 故障 甚至 损坏 时 ， 能 够 迅速 地 恢复 网 络 系统 和 数据 。 从 发 现 故障 到 完全 恢复 系统 ， 理 想 的 
备份 方案 耗 时 不 应 超过 半 个 工作 日 。 这样 ， 如 果 系统 出 现 灾难 性 故障 ， 就 可 以 把 损失 降 
到 最 低 。 

在 选择 备份 系统 时 ， 既 要 做 到 满足 系统 容量 不 断 增加 的 需求 ， 又 需要 所 用 的 备份 软件 能 
够 支持 多 平台 系统 。 要 做 到 这 些 ， 就 要 充分 使 用 网 络 数据 存储 管理 系统 ， 它 是 在 分 布 式 网 络 
环境 下 ， 通 过 专业 的 数据 存储 管理 软件 ， 结 合 相应 的 硬件 和 存储 设备 ， 对 网 络 的 数据 备份 进 
行 集中 管理 ， 从 而 实现 自动 化 的 备份 、 文 件 归档 、 数 据 分 级 存储 及 灾难 恢复 等 。 

通常 ， 一 个 完整 的 数据 备份 和 灾难 恢复 方案 ， 应 包括 备份 模式 的 设 定 、 备 份 硬件 、 备 份 
软件 、 备 份 计划 和 灾难 恢复 计划 5 个 部 分 。 


备份 模式 一 般 分 为 LAN 局域网 ) 备份 、LAN Free (局 域 网 连接 的 存储 备份 和 SAN 
Server-Free〈 存 储 区 域 网 ) 备份 三 种 。LAN 备份 针对 所 有 存储 类 型 都 可 以 使 用 ，LAN Free 备 
份 和 SAN Server-Free 备份 只 能 针对 SAN 架构 的 存储 。 

口 基于 LAN 备份 

传统 备份 需要 在 每 台 计 算 机 上 安装 磁带 机 备份 本 机 系统 ， 采 用 LAN 备份 策略 ， 在 数据 量 
不 是 很 大 的 时 候 ， 可 采用 集中 备份 。 一 台中 央 备 份 服务 器 将 会 安装 在 LAN 中 ， 然 后 将 应 用 服 
务 器 和 工作 站 配置 为 备份 服务 器 的 客户 端 。 中 央 备 份 服务 器 接受 运行 在 客户 机 上 的 备份 代理 
程序 的 请 求 ， 将 数据 通过 LAN 传递 到 它 所 管理 的 、 与 其 连接 的 本 地 磁带 机 资源 上 。 这 一 方式 
提供 了 一 种 集中 的 、 易 于 管理 的 备份 方案 ， 并 通过 在 网 络 中 共享 磁带 机 资源 提高 了 效率 。 

口 基于 LAN Free 和 SAN Server-Free 备份 

由 于 数据 通过 LAN 传播 ， 当 需要 备份 的 数据 量 较 大 ， 备 份 时 间 窗 口 紧 张 时 ， 网 络 容易 发 
生 堵 塞 。 因 此 在 SAN〔〈 网 络 存储 ) 环境 下 ， 可 采用 存储 网 络 的 LAN-Free 备份 ， 需 要 备份 的 
服务 器 通过 SAN 连接 到 磁带 机 上 ， 在 LAN-Free 备份 客户 端 软件 的 触发 下 ， 读 取 需 要 备份 的 
数据 ， 通 过 SAN 备份 到 共享 的 磁带 机 。 这 种 独立 网 络 不 仅 可 以 使 LAN 流量 得 以 转移 ， 而 且 


它 的 运转 所 需 的 CPU 资源 低 于 LAN 方 式 , 这 是 因为 光纤 通道 连接 不 需要 经 过 服务 器 的 TCP/ 卫 
栈 ， 而 且 某 些 层 的 错误 检查 可 以 由 光纤 通道 内 部 的 硬件 完成 。 

在 许多 解决 方案 中 需要 一 台 计 算 机 来 管理 共享 的 存储 设备 ， 以 及 用 于 查找 和 恢复 数据 的 
备份 数据 库 。LAN Free 备份 需要 占用 备份 计算 机 的 CPU 资源 ， 如 果 备份 过 程 能 够 在 SAN 内 
部 完成 , 而 大 量 数 据 流 无 需 流 过 服务 器 , 则 可 以 极 大 地 降低 备份 操作 对 生产 系统 的 影响 , SAN 
Server-Free 备份 就 是 这 样 的 技术 。 

如 何 选择 用 户 的 备份 模式 ， 要 根据 用 户 的 实际 情况 而 定 。 


一 般 说 来 ， 丢 失 数据 有 人 为 的 错误 、 漏 洞 和 病毒 、 设 备 故障 3 种 可 能 。 针 对 这 些 问 题 ， 
目前 较 流 行 的 解决 方法 包括 硬盘 介质 存储 、 光 学 介质 和 磁带 或 磁带 机 存储 技术 。 

与 磁带 或 磁带 机 存储 技术 和 光学 介质 备份 相 比 ， 硬 盘存 储 所 需 费 用 是 极其 昂贵 的 。 磁 盘 
存储 技术 虽然 可 以 提供 容错 性 解决 方案 ， 但 容错 却 不 能 抵御 用 户 的 错误 和 病毒 。 一 旦 两 个 磁 
盘 在 短 时 间 内 失灵 ， 在 一 个 磁盘 重建 之 前 ， 不 论 是 磁盘 镜像 还 是 磁盘 双 工 都 不 能 提供 数据 保 
护 。 因 此 ， 在 大 容量 数据 备份 方面 ， 采 用 硬盘 作为 备份 介质 并 不 是 最 佳 选择 。 

与 硬盘 备份 相 比 ， 虽 然 光 学 介质 备份 提供 了 比较 经 济 的 存储 解决 方案 ， 但 它们 所 用 的 访 
问 时 间 要 比 硬盘 长 2 一 6 倍 ， 并 且 容 量 相对 较 小 。 当 备份 大 容量 数据 时 ， 所 需 光 盘 数 量 大 ， 虽 
保存 的 持久 性 较 长 ， 但 整体 可 靠 性 较 低 。 所 以 光学 介质 也 不 是 大 容量 数据 备份 的 最 佳 选 择 。 

在 大 容量 备份 方面 ， 磁 带 机 所 具有 的 优势 是 容量 大 并 可 灵活 配置 、 速 度 相 对 适中 、 介 质 
保存 长 入， 存储 时 间 超 过 30 年 、 成 本 较 低 、 数 据 安全 性 高 、 可 实现 无 人 操作 的 自动 备份 等 。 
所 以 一 般 来 说 ， 磁 带 设备 是 大 容量 网 络 备 份 用 户 的 主要 选择 。 


虽然 已 有 用 户 在 网 络 中 运用 到 大 容量 备份 设备 ， 但 大 多 数 用 户 还 没有 意识 到 备份 软件 的 
重要 性 。 重 要 原因 是 许多 人 对 备份 知识 和 备份 手段 缺乏 了 解 。 他 们 所 知道 的 备份 软件 无 非 是 
网 络 操作 系统 附带 提供 的 备份 功能 ， 但 对 如 何 正 确 使 用 专业 的 备份 软件 却 知之 甚 少 。 

通常 ， 备 份 软件 主要 分 两 大 类 ， 一 是 各 个 操作 系统 厂商 在 软件 内 附带 的 ， 如 NetWare 操 
作 系统 的 “Backup” 功 能 、NT 操作 系统 的 “NTBackup” 等 ;二 是 专业 备份 软件 厂商 提供 的 
全 面 的 专业 备份 软件 ， 如 CA 公司 的 BrightStor ARCserve Backup V9。 

对 于 备份 软件 的 选择 ， 不 仅 要 注重 使 用 方便 、 自 动 化 程度 高 ， 还 要 有 好 的 扩展 性 和 灵活 
性 。 同 时 ， 跨 平台 的 网 络 数据 备份 软件 能 满足 用 户 在 数据 保护 、 系 统 恢复 和 病毒 防护 方面 的 
支持 。 一 个 专业 的 备份 软件 配合 高 性 能 的 备份 设备 ， 能 够 使 损坏 的 系统 迅速 得 到 恢复 。 


灾难 恢复 的 先决 条 件 ， 是 要 做 好 备份 策略 及 恢复 计划 。 日 常备 份 计划 描述 每 天 的 备份 以 
什么 方式 进行 、 使 用 什么 介质 、 什 么 时 间 进 行 以 及 系统 备份 方案 的 具体 实施 细则 。 在 计划 制 
定 完毕 后 ， 应 严格 按照 程序 进行 日 常备 份 ， 否 则 将 无 法 达到 备份 的 目的 。 目 前 被 采用 最 多 的 
备份 策略 主要 有 以 下 3 种 。 


口 完全 备份 (full backup ) 

每 天 对 自己 的 系统 进行 完全 备份 。 例 如 ， 星 期 一 用 一 盘 磁 带 对 整个 系统 进行 备份 ， 星 期 
二 再 用 另 一 盘 磁 带 对 整个 系统 进行 备份 ， 以 此 类 推 。 这 种 备份 策略 的 好 处 是 : 当 发 生 数据 丢 
失 的 灾难 时 ， 只 要 用 一 盘 磁 带 《〈 即 灾难 发 生前 一 天 的 备份 磁带 )， 就 可 以 恢复 丢失 的 数据 。 

然而 它 也 有 不 足 之 处 ， 首 先 ， 由 于 每 天 都 对 整个 系统 进行 完全 备份 ， 造 成 备份 的 数据 大 
量 重复 。 这 些 重复 的 数据 占用 了 大 量 的 磁带 空间 ， 这 对 用 户 来 说 就 意味 着 增加 成 本 。 其 次 ， 
由 于 需要 备份 的 数据 量 较 大 ， 因 此 备份 所 需 的 时 间 也 就 较 长 。 对 于 那些 业务 繁忙 、 备 份 时 间 
有 限 的 单位 来 说 ， 选 择 这 种 备份 策略 是 不 明智 的 。 

口 增 量 备份 (incremental backup ) 

星期 天 进行 一 次 完全 备份 ， 然 后 在 接 下 来 的 六 天 里 只 对 当天 新 的 或 被 修改 过 的 数据 进行 
备份 。 这 种 备份 策略 的 优点 是 节省 了 磁带 空间 ， 缩 短 了 备份 时 间 。 但 它 的 缺点 是 当 灾 难 发 生 
时 ， 数 据 的 恢复 比较 麻烦 。 

例如 ， 系 统 在 星期 三 的 早晨 发 生 故 障 ， 丢 失 了 大 量 的 数据 ， 那 么 现在 就 要 将 系统 恢复 到 
星期 二 晚上 时 的 状态 。 这 时 系统 管理 员 就 要 首先 找 出 星期 天 的 那 盘 完全 备份 磁带 进行 系统 恢 
复 ， 然 后 再 找 出 星期 一 的 磁带 来 恢复 星期 一 的 数据 ， 然 后 找 出 星期 二 的 磁带 来 恢复 星期 二 的 
数据 。 很 明显 ， 这 种 方式 很 烦琐 。 另 外 ， 这 种 备份 的 可 靠 性 也 很 差 。 在 这 种 备份 方式 下 ， 各 
盘 磁 带 间 的 关系 就 像 链 子 一 样 ， 一 环 套 一 环 ， 其 中 任何 一 盘 磁带 出 了 问题 都 会 导致 整 条 链子 
脱节 。 比 如 在 上 例 中 ， 若 星期 二 的 磁带 出 了 故障 ， 那 么 管理 员 最 多 只 能 将 系统 恢复 到 星期 一 
晚上 时 的 状态 。 

口 差异 备份 ( differential backup ) 

管理 员 先 在 星期 天 进行 一 次 系统 完全 备份 ， 然 后 在 接 下 来 的 几 天 里 ， 管 理 员 再 将 当天 所 
有 与 星期 天 不 同 的 数据 (新 的 或 修改 过 的 ) 备份 到 磁带 上 。 

差异 备份 策略 在 避免 了 以 上 两 种 策略 的 缺陷 的 同时 ， 又 具有 了 它们 的 所 有 优点 。 首 先 ， 
它 无 需 每 天 都 对 系统 做 完全 备份 ， 因 此 备份 所 需 时 间 短 ， 并 节省 了 磁带 空间 ， 其 次 ， 它 的 灾 
难 恢复 也 很 方便 。 系 统管 理 员 只 需 两 盘 磁 带 ， 即 星期 一 磁带 与 灾难 发 生前 一 天 的 磁带 ， 就 可 
以 将 系统 恢复 。 

在 实际 应 用 中 ， 备 份 策略 通常 是 以 上 3 种 的 结合 。 例 如 ， 每 周一 至 周 六 进行 一 次 增 量 备 
份 或 差异 备份 ， 每 周 日 进行 全 备份 ， 每 月 底 进行 一 次 全 备份 ， 每 年 底 进 行 一 次 全 备份 。 


灾难 恢复 措施 在 整个 备份 中 占有 相当 重要 的 地 位 。 因 为 它 关 系 到 系统 、 软 件 与 数据 在 经 
历 灾难 后 能 否 快速 、 准 确 地 恢复 。 全 盘 恢 复 一 般 应 用 在 服务 器 发 生意 外 灾难 ， 导 致 数据 全 部 
丢失 、 系 统计 省 或 是 有 计划 的 系统 升级 、 系 统 重组 等 情况 ， 也 称 为 系统 恢复 。 此 外 ， 有 些 厂 
商 如 惠普 还 推出 了 拥有 单 键 恢复 (OBDR) 功 能 的 磁带 机 ， 只 需 用 系统 盘 引 导 机 器 启动 ， 将 磁 
带 插入 磁带 机 ， 按 动 一 个 按键 即 可 恢复 整个 系统 。 


13.5 ”数据 恢复 工具 


重要 数据 一 旦 破坏 ， 用 户 将 承受 巨大 的 损失 ， 所 以 数据 恢复 产业 应 运 而 生 。 数 据 恢 复工 


有 具 用 来 在 数据 丢失 和 损坏 时 挽救 这 些 数据 ， 可 以 基于 各 种 软 、 硬 件 平台 开展 。 针 对 文件 的 误 
删除 ， 存 储 设备 受到 严重 破坏 等 情况 ， 专 业 的 数据 恢复 工作 都 可 能 将 数据 恢复 。 


13.5.1 FinalData 


在 Windows 环境 下 删除 一 个 文件 ， 只 是 将 目录 信息 从 FAT 或 者 MFT (NTFS) 删除 ， 这 
意味 着 文件 数据 仍然 留 在 磁盘 上 。 所 以 ， 从 技术 角度 来 讲 ， 这 个 文件 是 可 以 恢复 的 。FinalData 
就 是 通过 这 个 机 制 来 恢复 丢失 的 数据 的 ， 在 清空 回收 站 以 后 也 不 例外 。 

另外 ，FinalData 可 以 很 容易 地 从 格式 化 后 的 文件 和 被 病毒 破坏 的 文件 恢复 。 甚 至 在 极端 
的 情况 下 ， 如 果 目 录 结 构 被 部 分 破坏 也 可 以 恢复 ， 只 要 数据 仍然 保存 在 硬盘 上 。 为 了 确保 在 
Windows XP、Windows Server 2003 或 Windows Server 2008 上 的 高 恢复 率 ， 在 系统 中 必须 事 
先 安装 文件 保护 和 删除 检测 ， 这 可 以 通过 安装 FinalData 2.0 来 实现 。 

启动 FinalData2.0 安装 程序 ， 可 通过 双击 下 载 的 安装 程序 setup.exe， 然 后 在 【欢迎 】 对 话 
框 中 单 击 【 下 一 步 】 按 钮 ， 当 出 现 【软件 许可 证 协议 】 对 话 框 时 ， 单 击 【 是 】 按 钮 ， 如 图 13-30 
所 示 。 

接受 软件 的 许可 协议 后 ， 在 【请 输入 用 户 注册 信息 】 对 话 框 中 ， 输 入 注册 用 户 姓名 、 公 
司 名 称 及 该 软件 的 序列 号 ， 然 后 单 击 【下 一 步 】 按 钮 ， 如 图 13-31 所 示 。 其 中 ， 注 册 用 户 名 称 
和 公司 名 称 可 随意 填写 , 但 产品 序列 号 必须 输入 正确 (此 序列 号 发 布 在 该 软件 的 下 载 网 站 上 )， 
否则 安装 将 不 能 继续 。 
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图 13-30 【软件 许可 证 协议 】 对 话 框 图 13-31 填写 注册 用 户 信息 及 产品 序列 号 


在 【选择 目标 位 置 】 对 话 框 中 , 通过 单 击 目 标 文件 夹 区 域内 【浏览 】 按 钮 , 为 FinalData2.0 
选择 合适 的 安装 路 径 〈 如 e:/)， 并 单 击 【 下 一 步 】 按 钮 ， 如 图 13-32 所 示 。 如 果 FinlData2.0 
被 安装 到 含有 要 恢复 的 数据 的 驱动 器 上 ， 数 据 可 能 会 被 永远 覆盖 从 而 不 能 被 恢复 。 因 此 ， 需 
确认 要 恢复 的 数据 在 另外 的 驱动 器 上 。 

选择 安装 路 径 后 ， 依 次 在 【选择 程序 文件 夹 】 和 【安装 完毕 】 对 话 框 中 ， 单 击 【下 一 步 】 
和 【完成 】 按 钮 ， 完 成 FinalData2.0 安装 。 

若 要 使 用 FinalData 2.0 程序 进行 数据 恢复 时 ， 可 执行 【开始 】 代 程序 】IFinalData 2.0 OEM 
命令 ， 打 开 FinalData 2.0 OEM 窗口 。 然 后 ， 在 该 窗口 的 菜单 栏 中 单 击 【文件 】 菜 单 ， 并 执行 
【打开 】 命 令 ， 如 图 13-33 所 示 。 


《上 - 步 g) 中 br 
13-32 ”选择 软件 安装 路 径 图 13-33 ”FinalData 2.0 OEM 窗口 


在 【选择 驱动 器 】 对 话 框 中 ， 选 择 要 进行 数据 恢复 的 驱动 器 (如 c/)， 然 后 单 击 【 确 定 】 
按钮 ， 如 图 13-34 所 示 。 

在 【扫描 根 目录 】 对 话 框 中 ， 决 定 是 否 扫 描 根 目录 。 如 果 单 击 该 对 话 框 中 【 跳 过 】 按 钮 ， 
那么 该 程序 将 不 执行 对 已 选择 驱动 器 根 目录 的 扫描 。 在 此 , 不 跳 过 对 根 目录 的 扫描 , 如 图 13-35 
所 示 。 
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图 13-34 选择 驱动 器 图 13-35 执行 驱动 器 根 目录 扫描 


在 【选择 查找 的 扇 区 范围 】 对 话 框 中 ， 可 选取 已 选择 的 驱动 器 〈c:/) 的 扫描 方式 。 如 果 
选取 完整 扫描 方式 ， 将 会 对 整个 驱动 器 数据 进行 查找 ; 如 果 选 择 开 始 扫描 方式 ， 则 可 根据 用 
户 设置 的 查找 空间 对 驱动 器 的 部 分 肩 区 进行 查找 ， 默 认可 扫描 的 最 大 空间 为 2000MB。 在 此 ， 
单 击 【快速 扫描 】 按 钮 ， 如 图 13-36 所 示 。 

执行 扫描 操作 后 ， 将 在 FinalData 2.0 OEM 窗口 中 ， 显 示 出 驱动 器 内 所 有 的 根 目 录 文 件 、 
删除 的 目录 和 文件 、 丢 失 的 目录 和 文件 、 最 近 删 除 的 文件 及 找到 的 文件 等 信息 。 

若 要 进行 数据 的 恢复 ， 可 在 该 窗口 左 侧 单 击 要 恢复 的 数据 属性 〈 如 删除 的 目录 ) ， 从 右 
侧 数 据 列 表 区 域 选择 要 恢复 的 数据 (全 部 或 部 分 ) ， 然 后 单 击 【 文 件 】 菜 单 ， 并 执行 【恢复 】 
命令 ， 如 图 13-37 所 示 。 


选择 查找 的 启 区 范围 


13-36 ”进行 快速 扫描 图 13-37 进行 数据 恢复 


在 【选择 目录 保存 】 对 话 框 中 ， 选 择 恢复 数据 的 保存 位 置 。 可 通过 单 击 该 窗口 左 侧 驱 动 
器 列表 中 某 驱 动 器 (如 E:\)， 还 可 通过 单 击 【 目 录 ) 文本 框 后 方 的 浏览 图 标 ， 选 择 保存 位 置 。 
确认 无 误 后 ， 单 击 【保存 】 按 钮 ， 如 图 13-38 所 示 。 


图 13-38 保存 恢复 数据 


13.5.2 EasyRecovery 


EasyRecovery 是 世界 著名 数据 恢复 公司 Ontrack 的 技术 杰作 。 其 Professioanl (专业 ) 版 
是 包括 了 磁盘 诊断 、 数 据 恢复 、 文 件 修复 、E-mail 修复 4 大 类 19 个 项 目的 各 种 数据 文件 修复 
和 磁盘 诊断 方案 。 

其 支持 的 数据 恢复 方案 包括 如 下 几 种 。 

口 高 级 恢复 ”使 用 高 级 选项 自 定义 数据 恢复 。 

口 删除 恢复 ”查找 并 恢复 已 删除 的 文件 。 

口 格式 化 恢复 ”从 格式 化 过 的 卷 中 恢复 文件 。 

口 Raw 恢复 ”忽略 任何 文件 系统 信息 进行 恢复 。 

口 继续 恢复 ”继续 一 个 保存 的 数据 恢复 进度 。 

口 紧急 启动 盘 创建 自 引导 紧急 启动 盘 。 

其 支持 的 磁盘 诊断 模式 包括 如 下 几 种 。 

口 驱动 器 测试 ”测试 驱动 器 以 寻找 潜在 的 硬件 问题 。 

口 SMART 测试 ”监视 并 报告 潜在 的 磁盘 驱动 器 问题 。 

口 空间 管理 器 ”磁盘 驱动 器 空间 情况 的 详细 信息 。 

口 跳 线 查看 ”查找 IDE/ATA 磁盘 驱动 器 的 跳 线 设置 。 

口 分 区 测试 ”分析 现 有 的 文件 系统 结构 。 

口 数据 顾问 ”创建 自 引导 诊断 工具 。 

车 启动 FinalData2.0 安装 程序 ， 可 双击 下 载 的 安装 程序 “easyrecovery-setup.exe”， 然 后 在 
【欢迎 使 用 “EasyRecovery Prov6.12.02” 安 装 向 导 】 对 话 框 中 单 击 【 下 一 步 】 按 钮 。 当 出 现 【 选 
择 组 件 】 窗 口 时 ， 禁 用 【设置 绿色 导航 站 首页 】 复 选 框 ， 并 单 击 【是 】 按 钮 ， 如 图 13-39 所 示 。 

进行 安装 组 件 设置 后 ， 需 要 在 【选择 安装 位 置 】 窗 口中 ， 选 择 EasyRecovery 的 安装 路 径 
(E:\Easyrecovery\ Easyrecovery Pro)。 可 通过 单 击 目录 文件 夹 区 域内 【浏览 〗 按 钮 ， 或 直接 输 
入 方式 进行 ， 然 后 单 击 【安装 】 按 钮 ， 如 图 13-40 所 示 。 
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EasyRecovery Pro V6-12.02 汉化 版 安装 ery Pro 96-12. 02 汉化 版 安装 


园 界 安装 位 置 
选择 “PasyRecovary Pre 妈 .12_02 汉化 世 ” 的 安装 文件 夹 。 
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图 13-39 选择 安装 组 件 图 13-40 ”选择 安装 位 置 


选择 安装 路 径 后， 在 【正在 完成 “EasyRecovery Prov6.12.02” 安 装 向 导 ”】 对 话 框 中 ， 
单 击 【完成 】 按 钮 ， 完 成 EasyRecovery 的 安装 。 

若 要 利用 EasyRecovery 程序 进行 数据 恢复 或 其 他 操作 时 ， 可 执行 【开始 】|【 程 
序 】|EasyRecovery Pro 命令 ， 进 入 EasyRecovery 主 界面 。 然 后 在 该 主 界 面 左 侧 功能 列表 中 选 
择 【 数 据 恢复 】 选 项 卡 ， 将 在 右 侧 数据 恢复 区 域内 显示 提供 高 级 恢复 、 删 除 修复 、 格 式 化 恢 
复 等 功能 。 在 此 ， 选 择 【 高 级 恢复 】 选 项 进行 数据 恢复 ， 如 图 13-41 所 示 。 

在 【数据 恢复 高 级 恢复 】 窗 口中 , 在 左 侧 驱动 器 分 区 列表 中 ,选择 恢复 数据 的 分 区 (E'\)， 
然后 单 击 该 界面 右 下 方 【高 级 选项 】 按 钮 进行 恢复 属性 设置 ， 如 图 13-42 所 示 。 
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图 13-41 高 级 修复 图 13-42 【数据 恢复 高 级 恢复 】 窗 口 
当 出 现 【高 级 选项 】 对 话 框 时 ， 选 择 【 恢 复 选 项 】 选 项 卡 ， 可 在 恢复 文件 属性 区 域内 启 
用 或 禁用 文件 的 属性 ， 然 后 单 击 【 确 定 】 按 钮 ， 如 图 13-43 所 示 。 


另外 ， 还 可 以 在 EasyRecovery 主 界面 左 侧 功能 列表 中 ， 选 择 【文件 恢复 】 选 项 卡 ， 将 在 
右 侧 文件 恢复 区 域内 显示 提供 对 Access (数据 库 ) 、Excel (电子 表格 ) 、PowerPoint (演示 
文稿 ) 、Word 文档 ) 等 这 些 格 式 文件 的 恢复 功能 。 在 此 ， 选 择 【Word 修复 】 选 项 进行 文件 
恢复 ， 如 图 13-44 所 示 。 

在 【文件 修复 Word 修复 】 窗 口中 ， 可 通过 单 击 【 浏 览 文件 】 按 钮 ， 选 择 要 修复 的 文件 
〈 网 络 配置 与 管理 .doc)， 并 单 击 【 下 一 步 】 按 钮 ， 如 图 13-45 所 示 。 
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图 13-43 设置 恢复 文件 属性 图 13-44 Word 修复 
在 【修复 报告 】 窗 口中 ， 可 查看 到 已 修复 文件 名 称 及 路 径 、 文 件 修复 完成 等 信息 ， 如 图 
13-46 所 示 。 
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图 13-45 ”选择 修复 文件 图 13-46 ”修复 报告 


13.6 ”操作 实例 二 


13.3.1] 揭 依 裤 列 人 入 司 Windows Sarvar 2003 工具 等 从 /次 入 
Windows Server 2008 中 的 backup 工具 是 一 个 可 选 特性 ， 利 用 backup 功能 可 以 有 效 地 帮 
助 用 户 备份 ， 还 原 操作 系统 。 


口 备份 数据 。 
口 删除 数据 。 
口 恢复 数据 。 
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@ 2. 实例 步骤 BD 

(1) 在 桌面 双击 【我 的 电脑 】 图 标 ， 在 打开 的 窗口 中 ， 双 击 【 本 地 磁盘 (D: )】 图 标 , 右 
击 任意 空白 区 域 ， 并 执行 【新 建 】| 【文件 夹 】 命 令 ， 并 将 文件 重 命名 为 “slyx”， 如 图 13-47 
所 示 。 

(2) 执行 【开始 】I1【 程 序 】|【 管 理工 具 】|Windows Server Backup 命令 ,在 弹出 的 窗口 中 ， 
选择 右 侧 【 操 作 】 窗 格 中 的 【一 次 性 备份 】 选 项 ， 如 图 13-48 所 示 。 
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图 13-47 创建 文件 夹 图 13-48 一 次 性 备份 
(3) 在 【备份 选项 】 对 话 框 中 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 13-49 所 示 。 
(4) 在 【选择 备份 配置 】 对 话 框 中 ， 选 中 【 自 定义 】 单 选 按钮 ， 单 击 【 下 一 步 】 按 钮 ， 
如 图 13-50 所 示 。 


CRIETITEI 过 EJ 
2 备份 选项 9 选择 备份 配置 

使用 以 下 方式 时 备份 : 

先知 份 要 全 pe 各 们 jf 后 中 用 于 计划 音信 


指定 目 慰 类 型 


iA | 取消 | 


图 13-49 选择 备份 方式 图 13-50 备份 配置 选项 


(5) 在 弹出 的 对 话 框 中 ， 选 中 【本 地 磁盘 〈(D: )】 单 选 按钮 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 
13-51 所 示 。 

(6) 在 【指定 目标 类 型 】 对 话 框 中 ， 选 中 【本 地 驱动 器 】 单 选 按钮 ， 并 单 击 【 下 一 步 】 
按钮 ， 如 图 13-52 所 示 。 

(7) 在 弹出 的 对 话 框 中 ， 选 择 备份 位 置 ， 并 单 击 【下 一 步 】 按 钮 ， 如 图 13-53 所 示 。 

(8) 在 【指定 高 级 选项 】 对 话 框 中 ， 选 中 【VSS 完全 备份 】 单 选 按钮 ， 单 击 【下 一 步 】 
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按钮 ， 如 图 13-54 所 示 。 


x 
2 9 选择 备份 项 目 
章光 硕 。。。 着 沁 份 此 巷 0)? 选中 
口 本 地 8 奴 C:】 ”已 排 条 .06 园 
回 4 0 已 包 人 ET 
口 本 地 汶 0:) 已 指 和 9 
厂 启用 系统 恢 夏 人] * 


ea 这 些 兰 电 合用 于 系统 恢 砚 的 失 作 系 纺 组 


一 四 Li 取 的 EL | 


图 13-51 备份 D 盘 数据 图 13-52 本 地 驱动 器 


斌 一 次 性 音 份 向 号 


J 选择 备份 目标 19 指定 高 级 选项 
过 二 要 键 的 包 果 复制 有 务 Ya) 备份 的 类型。 
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Pe LE 请 迁 择 该 


上 二 Ee 2 SS 元 整 首 份 0) 
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图 13-53 备份 目标 为 本 地 磁盘 〈E:) 图 13-54 完全 备份 


(9) 在 【确认 】 对 话 框 中 ， 单 击 【 备 份 】 按 钮 ， 如 图 13-55 所 示 。 


@ 3. 恢复 数据 中 


(1) 在 【本 地 磁盘 (D:)】 中 , 右 击 slyx 文件 夹 ， 并 执行 【删除 】 命 令 。 在 Windows Server 
Backup 窗口 中 ， 选 择 【 恢 复 】 选 项 ， 如 图 13-56 所 示 。 

(2) 在 弹出 的 【入 门 】 对 话 框 ， 单 击 【 下 一 步 】 按 钮 。 在 【选择 备份 日 期 】 对 话 框 中 ， 
单 击 【 下 一 步 】 按 钮 ， 如 图 13-57 所 示 。 

(3) 在 弹出 的 对 话 框 中 ， 选 中 【文件 和 文件 夹 】 单 选 按 钮 ， 并 单 击 【 下 一 步 】 按 钮 ， 如 
13-58 所 示 。 

(4) 在 【选择 要 恢复 的 项 目 】 对 话 框 中 ， 依 次 展开 WIN-VG2WB2JHS4A 和 slyx 节点 ， 
并 单 击 【下 一 步 】 按 钮 ， 如 图 13-59 所 示 。 

(5) 在 弹出 的 对 话 框 中 的 【恢复 目标 】 栏 内 选中 【原始 位 置 】 单 选 按钮 ， 并 单 击 【下 一 
步 】 按 钮 ， 如 图 13-60 所 示 。 
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图 13-57 选择 备份 日 期 
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图 13-58 选择 恢复 类 型 


确认 一 当 询 句 导 在 恢复 目标 中 查找 文 件 和 文件 来 时 一 一 一 一 一 一 
化 丰 进度 人 记 科 一 本， 以 便 折 具有 了 个 版 本 的 文件 或 文件 夫 候 ) 

全 用 已 入 御 各 基 现 有 文件 (0) 

个 不 相生 这 此 文件 和 文件 来 0) 


图 13-59 选择 要 恢复 的 项 目 


(6) 在 【确认 】 对 话 框 中 ， 单 击 【 恢 复 】 按 钮 ， 恢 复 完成 后 ， 在 【本 地 磁盘 〈D:)] 


图 13-60 原始 位 置 恢复 


UD 
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查看 已 恢复 文件 ， 如 图 13-61 所 示 。 
eata 上 | 
GO Fm- “回民 
文件 9] 编 得 0 坦 看 w) 工具 0) 夺 助 00 
起 织 ” 办 机 ” 四 打开 双 共 祝 恩 
ne TT 
es\ " 23 


图 13-61 查看 恢复 文件 


13.8.2 揭 放 袍 何 一 一 笋 气 志 的 各 分 /你 复 


如 果 服 务 器 数据 库 发 生 故 障 或 遭 到 黑客 入 侵 ， 会 造成 大 量 的 数据 丢失 。 这 样 服务 器 将 会 
瘫痪 ， 从 而 导致 整个 网 络 瘫痪 。 因 此 做 好 数据 库 的 备份 工作 就 显得 很 重要 。 


C 1 实例 目的 
口 备份 活动 目录 数据 库 。 
口 恢复 活动 目录 数据 库 。 


@ 2. 实例 步骤 ) 


(1) 在 桌面 执行 【开始 】| 【运行 】 命 令 ， 在 【运行 】 对 话 框 中 ， 输 入 cmd 命令 ， 并 单 击 
【确定 】 按 钮 ， 如 图 13-62 所 示 。 


(2) 在 【命令 提示 符 】 窗 口中 ， 输 入 wbadmin get disks 命令 ， 并 按 回 车 键 ， 如 图 13-63 
所 示 。 


WIndows 博 恨 起 
文件 赤 ， 文 位 或 Iniernetj 


: UKuare。 UMvare Uirtual S SCSI Disk Device 


:0 
: (698edf80-9080-9000-0009-909990999099) 
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: 7.28 GB 
: C:[( 投 有 天 标 签 )].D:LG 和 9 有 兰 标 签 >] 


| 划 4 


图 13-63 查看 联机 的 磁盘 


(3) 输入 wbadnim start backup -backuptarget: d: -includes: c: (将 磁盘 c 备份 到 磁盘 d) 
命令 ， 并 按 回 车 键 ， 然 后 ， 根 据 提示 输入 y〔 确 定 备份 ) 命令 并 按 回 车 键 ， 如 图 13-64 所 示 。 


(4) 在 【命令 提示 符 】 窗 口中 输入 wbadmin get versions 命令 ， 并 按 回 车 键 ， 如 图 13-65 所 示 


@ 3. 备份 数据 库 1) 


(1) 重新 启动 计算 机 ， 在 进入 Windows Server 2008 的 初始 窗口 前 按 F8 键 ， 在 高 级 启动 
选项 菜单 界面 ， 使 用 方向 键 移动 光标 到 【目录 服务 还 原 模式 】 选 项 ， 并 按 回 车 键 ， 如 图 13-66 


图 13-62 【运行 】 对 话 框 
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所 示 。 
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所 有 2884 Microsafe corn- 


: 281@/3/23 9:28 
标 : 1394USB 磁盘 ， 标 记 为 新 加 着 <D:> 
PR 符 : 83723/2818-g :28 

其， 文件 ， 应 用 程序 ， 神 机 恢复 ， 系统 状态 


了 
图 13-64 执行 备份 命令 图 13-65 备份 状态 信息 
(2) 在 桌面 执行 【开始 】I| 【运行 】 命令 , 在 【运行 】 对 话 框 中 输入 cmd 命令 ,并 单 击 【 确 
定 】 按 钮 ， 在 【命令 提示 符 】 窗 口内 输入 wbadmin get versions 命令 ， 按 回 车 键 ， 如 图 13-67 
所 示 。 


: 9:28 
让 394USB 磁盘 ， 标 记 为 新 加 着 CD:7 

hp 83/23/2018-81:28 

中 以 恢复 : 着 ， 文件 ， 应 用 程序 。 禄 机 恢复 ， 系统 状态 


图 13-66 ”高 级 启动 菜单 13-67 ”查看 备份 表示 符 


(3) 输入 wbadmin start systemstaterecovery -Versions: 03/23/2010-01: 28 (恢复 2010 年 3 
月 3 日 的 数据 ) 命令 , 并 按 回 车 键 , 根据 提示 输入 y (确定 开始 ) 命令 并 按 回 车 键 ， 如 图 13-68 
所 示 。 


图 13-68 ”恢复 数据 


以 上 进行 的 是 非 授权 恢复 : 所 有 未 经 授权 恢复 的 数据 ， 都 将 在 活动 目录 复制 
系统 中 出 现 ， 虽 然 数 据 是 旧 的 ， 但 是 不 会 复制 到 其 他 服务 器 中 。 


